昨天,去中心化交易平台Velocore遭到了駭客攻擊,被盗了1807枚ETH(约合688万美元)。随后,Velocore发布了一份报告,详细说明了受影响资金池、攻击手法以及后续的补偿计划。
(前情提要:上一秒努力擼毛,下一秒被駭客「偷家」?OKX Web3&WTF Academy【安全特刊】)
(背景补充:遗失密码反成财富神助攻!駭客破解密码管理器,找回11年前43.6枚比特幣(现值300万鎂))
本文目录:
合约漏洞导致
又是闪电贷攻击?
恢复运营才补偿用户
部署在Layer2网络zkSync及Linea上的去中心化交易平台Velocore在昨日遭到駭客攻擊,损失达1807枚ETH(约688万美元)。
链上分析师余燼表示,该平台上所有用户的流动性资金都被盗取,駭客随后将窃取的资金通过跨链桥转移至以太坊主网,并且将ETH全部转移到0xe40地址,并利用混币器协议Tornado将资金隐匿洗出。
另外,根据DeFi数据平台DefiLlama的数据显示,Velocore遭到駭客攻击后,其总锁定价值从前一日的1,016万美元暴跌至83.5万美元,下跌幅度高达92%。
昨日,Velocore团队针对本次駭客攻击事件发布了一份安全检讨报告。报告中指出,攻击的原因是Balancer-style CPMM池存在合约漏洞。报告详细列出了各个资金池的安全状况:
Linea和zkSync Era链上的Velocore中所有CPMM池均受到影响。
稳定池(stable pool)未受影响。
Telos链上的Velocore也存在同样的问题,但团队已经在问题被利用前进行了处理。
Blast链上的Bladeswap虽使用Velocore的核心合约,但由于Bladeswap采用的是XYK池而非CPMM池,故未受此次合约漏洞的影响。
恒定乘积做市商CPMM是DeFi流动性矿池早期采用的函数之一,函数算法:x*y=k。其中x和y是池中资产的储存量,k是一个不变的常数,该函数根据每个代币的可用数量(流动性)确定两种代币的价格范围。这代表着代币X的供应量增加,则代币Y的供应量减少以保持恒定值k。
根据报告显示,攻击者先从混币器协议Tornado获取资金,并将合约漏洞触发条件满足,接着利用闪电贷款获取流动性提供者(LP)代币,并提取了大部分代币,使流动性池的规模大幅缩小。随后,攻击者利用代币合约漏洞铸造了异常大量的LP代币,从而偿还了闪电贷款。
针对本次駭客攻击,Velocore团队表示正在积极追查駭客,同时也尝试和駭客进行链上协商。Velocore在链上向和駭客沟通消息显示:不过目前駭客尚未对Velocore做出回应。
另一方面,团队还表示会对受影响人提供补偿,并快照了攻击事件发生前的区块状态,只不过补偿计划需要等待Velocore恢复运营后才会着手执行。
相关报导
美国法院批准没收279个加密货币帐户,包含北韩駭客犯罪所得、中国洗钱币商
「瑞波Ripple」佔领ETtoday即新闻60万粉YT频道!駭客用假空投骗加密钱包
防止駭客钓鱼攻击:这三个签名授权原理你一定要了解
