ผู้เขียนต้นฉบับ: ติง

ที่มา: BlockTempo

เมื่อวานนี้ Velocore แพลตฟอร์มการซื้อขายแบบกระจายอำนาจถูกโจมตีโดยแฮกเกอร์ และ 1,807 ETH (ประมาณ 6.88 ล้านดอลลาร์สหรัฐ) ถูกขโมย หลังจากนั้น Velocore ได้เผยแพร่รายงานที่อธิบายกลุ่มกองทุนที่ได้รับผลกระทบ เทคนิคการโจมตี และแผนการจ่ายค่าตอบแทนที่ตามมา

Velocore ซึ่งเป็นแพลตฟอร์มการซื้อขายแบบกระจายอำนาจที่ติดตั้งบนเครือข่ายเลเยอร์ 2 zkSync และ Linea ถูกแฮกเกอร์โจมตีเมื่อวานนี้ (2) ส่งผลให้สูญเสีย 1,807 ETH (ประมาณ 6.88 ล้านเหรียญสหรัฐ)

นักวิเคราะห์ออนไลน์ Yu Jin กล่าวว่ากองทุนสภาพคล่องของผู้ใช้ทั้งหมดบนแพลตฟอร์มถูกขโมย จากนั้นแฮกเกอร์ได้โอนเงินที่ถูกขโมยไปยังเครือข่ายหลักของ Ethereum ผ่านสะพานข้ามเครือข่าย และโอน ETH ทั้งหมดไปยังที่อยู่ 0x e 40 และใช้โปรโตคอลผสมเหรียญทอร์นาโดเพื่อซ่อนและล้างเงิน

นอกจากนี้ ตามข้อมูลจาก DefiLlama แพลตฟอร์มข้อมูล DeFi หลังจากที่ Velocore ถูกแฮ็ก มูลค่าที่ถูกล็อคทั้งหมดก็ลดลงเหลือ 835,000 ดอลลาร์จาก 10.16 ล้านดอลลาร์ในวันก่อนหน้า ซึ่งลดลงมากถึง 92%

ช่องโหว่ของสัญญานำไปสู่

เมื่อวานนี้ ทีม Velocore เผยแพร่รายงานการตรวจสอบความปลอดภัยเกี่ยวกับเหตุการณ์การแฮ็กนี้ รายงานระบุว่าสาเหตุของการโจมตีคือช่องโหว่ของสัญญาในกลุ่ม CPMM แบบ Balancer รายงานแสดงรายละเอียดสถานะความปลอดภัยของแต่ละกองทุน:

• พูล CPMM ทั้งหมดใน Velocore บนเครือข่าย Linea และ zkSync Era ได้รับผลกระทบ

• สระที่มั่นคงจะไม่ได้รับผลกระทบ

• Velocore บน Telos chain ก็ประสบปัญหาเดียวกันเช่นกัน แต่ทีมงานได้จัดการกับมันก่อนที่จะถูกนำไปใช้ประโยชน์

• แม้ว่า Bladeswap บน Blast chain จะใช้สัญญาหลักของ Velocore เนื่องจาก Bladeswap ใช้พูล XYK แทนพูล CPMM จึงไม่ได้รับผลกระทบจากช่องโหว่ของสัญญานี้

CPMM ผู้ดูแลตลาดผลิตภัณฑ์อย่างต่อเนื่องเป็นหนึ่งในฟังก์ชันที่ใช้ในกลุ่มสภาพคล่อง DeFi ในยุคแรก ๆ อัลกอริธึมของฟังก์ชันคือ: x*y=k โดยที่ x และ y คือจำนวนการจัดเก็บสินทรัพย์ในพูล k คือค่าคงที่ที่ไม่เปลี่ยนรูป และฟังก์ชันนี้จะกำหนดช่วงราคาของโทเค็นสองรายการตามปริมาณที่มีอยู่ (สภาพคล่อง) ของแต่ละโทเค็น ซึ่งแสดงถึงโทเค็น X เป็นแหล่งจ่ายของ โทเค็น Y เพิ่มขึ้น อุปทานของโทเค็น Y ลดลงเพื่อรักษาค่าคงที่ k

การโจมตีสินเชื่อแฟลชอีกครั้ง?

ตามรายงาน ผู้โจมตีได้รับเงินทุนจากโปรโตคอลผสมสกุลเงิน Tornado และปฏิบัติตามเงื่อนไขทริกเกอร์ช่องโหว่ของสัญญา จากนั้นผู้โจมตีใช้สินเชื่อแฟลชเพื่อรับโทเค็นผู้ให้บริการสภาพคล่อง (LP) และถอนโทเค็นส่วนใหญ่ออก ทำให้มีสภาพคล่อง ของสระทางเพศหดตัวลงอย่างมาก ผู้โจมตีใช้ประโยชน์จากช่องโหว่ในสัญญาโทเค็นเพื่อสร้างโทเค็น LP จำนวนมากผิดปกติเพื่อชำระคืนเงินกู้แฟลช

ผู้ใช้จะได้รับการชดเชยหลังจากเปิดให้บริการต่อแล้วเท่านั้น

เพื่อตอบสนองต่อการโจมตีของแฮ็กเกอร์นี้ ทีมงาน Velocore ระบุว่ากำลังติดตามแฮ็กเกอร์อย่างแข็งขันและพยายามดำเนินการเจรจาออนไลน์กับแฮ็กเกอร์ด้วย ข้อความสื่อสารออนไลน์ของ Velocore กับแฮ็กเกอร์แสดงให้เห็นว่า:

หากแฮกเกอร์คืนเงินที่เหลือในเวลา 16.00 น. ของวันที่ 3 มิถุนายน ทีมงานยินดีมอบเงินรางวัลแฮกเกอร์หมวกขาว 10%

อย่างไรก็ตามแฮกเกอร์ยังไม่ตอบสนองต่อ Velocore

ในทางกลับกัน ทีมงานยังระบุด้วยว่าจะจ่ายค่าชดเชยให้กับผู้ที่ได้รับผลกระทบ และบันทึกสถานะบล็อกก่อนการโจมตี อย่างไรก็ตาม แผนการชดเชยจะไม่ถูกนำมาใช้จนกว่า Velocore จะกลับมาดำเนินการอีกครั้ง