我要评论
部署在layer2网络zksync及linea上的去中心化交易平台velocore在昨(2)日遭到黑客攻击,损失达1807枚eth(约688万美元)
链上分析师余烬表示,该平台上所有用户的流动性资金都被盗取,黑客随后将窃取的资金通过跨链桥转移至以太坊主网,并且将eth全部转移到0xe40地址,并利用混币器协议tornado将资金隐匿洗出。
另外,根据defi数据平台defillama的数据显示,velocore遭到黑客攻击后,其总锁定价值从前一日的1,016万美元暴跌至83.5万美元,下跌幅度高达92%。
合约漏洞导致
昨日,velocore团队针对本次黑客攻击事件发布了一份安全检讨报告。报告中指出,攻击的原因是balancer-style cpmm池存在合约漏洞。报告详细列出了各个资金池的安全状况:
linea和zksync era链上的velocore中所有cpmm池均受到影响。
稳定池(stable pool)未受影响。
telos链上的velocore也存在同样的问题,但团队已经在问题被利用前进行了处理。
blast链上的bladeswap虽使用velocore的核心合约,但由于bladeswap采用的是xyk池而非cpmm池,故未受此次合约漏洞的影响。
恒定乘积做市商cpmm是defi流动性矿池早期采用的函数之一,函式算法:x*y=k。其中x和y是池中资产的储存量,k是一个不变的常数,该函式根据每个代币的可用数量(流动性)确定两种代币的价格范围,这代表着代币x的供应量增加,则代币y的供应量减少以保持恒定值k。
又是闪电贷 攻 击?
根据报告显示,攻击者先从混币器协议tornado获取资金,并将合约漏洞触发条件满足,接者利用闪电贷款获取流动性提供者(lp)代币,并提取了大部分代币,使流动性池的规模大幅缩小。随后,攻击者利用代币合约漏洞铸造了异常大量的lp代币,从而偿还了闪电贷款。
恢复运营才补偿用户
针对本次黑客攻击,velocore团队表示正在积极追查骇客,同时也尝试和黑客进行链上协商,velocore在链上向和黑客沟通讯息显示:若黑客在6月3日下午4点钱归还剩余资金,团队愿意提供10%的白帽黑客赏金
不过目前骇客尚未对velocore做出回应。
另一方面,团队还表示会对受影响人提供补偿,并快照了攻击事件发生前的区块状态,只不过补偿计划需要等待velocore恢复运营后才会着手执行。
以上就是velocore被黑损失688万美元eth!用户流动性全归零的详细内容,更多关于攻击的原因是balancer-style cpmm池存在合约漏洞的资料请关注代码网其它相关文章!
发表评论