損失超1800枚ETH、流動性歸零,Velocore發生了什麼?
BlockBeats 律動財經 2024-06-03 14:00
昨日,去中心化交易平台 Velocore 遭到駭客攻擊,被竊取 1807 枚 ETH(約 688 萬美元),事後 Velocore 公布報告,說明受影響的資金池、攻擊手法以及後續的補償計劃。
部署在 Layer2 網路 zkSync 及 Linea 上的去中心化交易平台 Velocore 在昨(2)日遭到駭客攻擊,損失達 1807 枚 ETH(約 688 萬美元)
鏈上分析師餘燼表示,該平台上所有用戶的流動性資金都被盜取,駭客隨後將竊取的資金通過跨鏈橋轉移至以太坊主網,並且將 ETH 全部轉移到 0xe40 地址,並利用混幣器協議 Tornado 將資金隱匿洗出。
另外,根據 DeFi 數據平台 DefiLlama 的數據顯示,Velocore 遭到駭客攻擊後,其總鎖定價值從前一日的 1,016 萬美元暴跌至 83.5 萬美元,下跌幅度高達 92%。
合約漏洞導致
昨日,Velocore 團隊針對本次駭客攻擊事件發布了一份安全檢討報告。報告中指出,攻擊的原因是 Balancer-style CPMM 池存在合約漏洞。報告詳細列出了各個資金池的安全狀況:
· Linea 和 zkSync Era 鏈上的 Velocore 中所有 CPMM 池均受到影響。
· 穩定池(stable pool)未受影響。
· Telos 鏈上的 Velocore 也存在同樣的問題,但團隊已經在問題被利用前進行了處理。
· Blast 鏈上的 Bladeswap 雖使用 Velocore 的核心合約,但由於 Bladeswap 採用的是 XYK 池而非 CPMM 池,故未受此次合約漏洞的影響。
恆定乘積做市商 CPMM 是 DeFi 流動性礦池早期採用的函數之一,函式算法:x*y=k。其中 x 和 y 是池中資產的儲存量,k 是一個不變的常數,該函式根據每個代幣的可用數量 (流動性) 確定兩種代幣的價格範圍,這代表著代幣 X 的供應量增加,則代幣 Y 的供應量減少以保持恆定值 k。
又是閃電貸攻擊?
根據報告顯示,攻擊者先從混幣器協議 Tornado 獲取資金,並將合約漏洞觸發條件滿足,接者利用閃電貸款獲取流動性提供者(LP)代幣,並提取了大部分代幣,使流動性池的規模大幅縮小。隨後,攻擊者利用代幣合約漏洞鑄造了異常大量的 LP 代幣,從而償還了閃電貸款。
恢復營運才補償用戶
針對本次駭客攻擊,Velocore 團隊表示正在積極追查駭客,同時也嘗試和駭客進行鏈上協商,Velocore 在鏈上向和駭客溝通訊息顯示:
若駭客在 6 月 3 日下午 4 點錢歸還剩餘資金,團隊願意提供 10% 的白帽駭客賞金
不過目前駭客尚未對 Velocore 做出回應。
另一方面,團隊還表示會對受影響人提供補償,並快照了攻擊事件發生前的區塊狀態,只不過補償計劃需要等待 Velocore 恢復營運後才會著手執行。
暢行幣圈交易全攻略,專家駐群實戰交流
▌立即加入鉅亨買幣實戰交流 LINE 社群(點此入群)
不管是新手發問,還是老手交流,只要你想參與虛擬貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資,都歡迎入群討論學習!
- 加入鉅亨買幣LINE官方帳號索取免費課程
- 掌握全球財經資訊點我下載APP
文章標籤
上一篇
下一篇