Децентрализованная биржа Velocore решает проблему взлома на 7 миллионов долларов после вскрытия и предлагает награду хакеру

Децентрализованная биржа Velocore, которая работает на блокчейнах Telos, zkSync Era и Linea, вчера вечером была использована в токенах на сумму около 6,8 миллионов долларов из-за уязвимости в смарт-контрактах, которые контролируют ее пулы ликвидности. 

Хакер смог воспользоваться уязвимостью в логике переполнения, чтобы обманом заставить Velocore превратить небольшой вывод средств в большой депозит. С помощью флэш-кредита хакер смог опустошить «волатильные пулы» Velocore на zkSync Era и Linea, хотя команде удалось защитить свои активы на Telos. «Стабильные пулы» не пострадали. 

«Несмотря на многочисленные проверки и внедрение превентивных функций для обеспечения безопасности, этот неожиданный инцидент произошел быстро. Мы глубоко опечалены и искренне извиняемся перед нашими пользователями, которые доверились нам», — написала Velocore в своем отчете о вскрытии. Velocore также отключил логическую ошибку, использованную в эксплойте, исключив вероятность атаки-подражателя. 

Инцидент привел к тому, что построенная ConsenSys сеть Linea Ethereum Layer 2 временно приостановила производство блоков в безуспешной попытке минимизировать потери от атаки. 

«Поскольку другие способы борьбы с этим эксплойтом были закрыты, наша команда остановила секвенсор, чтобы предотвратить утечку дополнительных средств. Это была крайняя мера для защиты пользователей Linea», — написано в протоколе на X. Хотя Linea заявила, что ее целью было в конечном итоге лишить свою команду возможности останавливать сеть после того, как произойдет значительная децентрализация, протокол защищал решение остановить цепочку. «Большинство L2, включая Linea, по-прежнему полагаются на централизованные технические операции, которые можно использовать для защиты участников экосистемы. Основная ценность Linea — это среда, не требующая разрешений и устойчивая к цензуре, поэтому это решение мы приняли нелегко», — говорится в протоколе. 

Velocore обратилась к хакеру с сообщением, предлагающим вознаграждение в размере 10% за возврат оставшейся части средств до 3 июня, 8:00 UTC. Хакер пока не ответил, хотя с тех пор хакер внес около 1700 ETH на сумму около 7 миллионов долларов в криптовалютный миксер Tornado Cash. Velocore в своем вскрытии пообещал: «Для пострадавших мы сделали снимок состояния блокчейна до инцидента. Как только операции возобновятся, мы реализуем соответствующий план компенсации для устранения потерь, понесенных нашими пользователями».