Децентрализованная биржа Velocore рассматривает взлом на $7 миллионов в постмортеме, предлагает вознаграждение хакеру

Децентрализованная биржа Velocore, работающая на блокчейнах Telos, zkSync Era и Linea, была взломана на сумму около $6,8 миллиона в токенах прошлой ночью из-за уязвимости в смарт-контрактах, которые контролируют ее пулы ликвидности. 

Хакеру удалось воспользоваться уязвимостью в логике переполнения, чтобы обмануть Velocore и превратить небольшое снятие средств в крупный депозит. С помощью флэш-кредита хакер смог опустошить "волатильные пулы" Velocore на zkSync Era и Linea, хотя команде удалось защитить свои активы на Telos. "Стабильные пулы" не пострадали. 

"Несмотря на проведение множества аудитов и внедрение превентивных мер для обеспечения безопасности, этот неожиданный инцидент произошел очень быстро. Мы глубоко опечалены и искренне извиняемся перед нашими пользователями, которые доверяли нам," написала Velocore в своем постмортеме. Velocore также отключила логическую ошибку, использованную в эксплойте, устранив возможность повторной атаки. 

Инцидент привел к тому, что сеть второго уровня Ethereum Linea, созданная ConsenSys, временно приостановила производство блоков в неудачной попытке смягчить потери от атаки. 

"Поскольку другие способы решения этой проблемы были закрыты, наша команда остановила секвенсор, чтобы предотвратить вывод дополнительных средств. Это была последняя мера для защиты пользователей на Linea," написала протокол на X. Хотя Linea заявила, что ее целью является в конечном итоге лишить команду возможности останавливать сеть после значительной децентрализации, протокол защитил решение остановить цепочку. "Большинство L2, включая Linea, все еще полагаются на централизованные технические операции, которые могут быть использованы для защиты участников экосистемы. Основная ценность Linea - это разрешительная, устойчивая к цензуре среда, поэтому это решение не было принято легкомысленно," написала протокол. 

Velocore связалась с хакером с предложением о выплате 10% вознаграждения за возврат оставшихся средств до 3 июня, 8:00 UTC. Хакер пока не ответил, хотя с тех пор он перевел около 1700 eth, стоимостью около $7 миллионов, на криптовалютный миксер Tornado Cash. Velocore в своем постмортеме пообещала: "Для пострадавших мы сделали снимок состояния блокчейна до инцидента. Как только операции возобновятся, мы реализуем соответствующий план компенсации для возмещения понесенных пользователями убытков."