Децентралізована біржа Velocore вирішує проблему злому на 7 мільйонів доларів після розтину і пропонує нагороду хакеру

Децентралізована біржа Velocore, яка працює на блокчейнах Telos, zkSync Era і Linea, вчора ввечері була використана в токенах на суму близько 6,8 мільйонів доларів через уразливість в смарт-контрактах, які контролюють її пули ліквідності. 

Хакер зміг скористатися вразливістю в логіці переповнення, щоб обдурити Velocore, щоб перетворити невелике виведення коштів на великий депозит. За допомогою флеш-кредиту хакер зміг спустошити» нестабільні басейни " Velocore на Zksync Era та Linea, хоча команді вдалося захистити свої активи на Telos. "Стабільні пули" не постраждали. 

"Незважаючи на численні перевірки та впровадження превентивних функцій для забезпечення безпеки, цей несподіваний інцидент стався швидко. Ми глибоко засмучені і щиро вибачаємося перед нашими користувачами, які довірилися нам», — написала Velocore у своєму звіті про розтин. Velocore також відключив логічну помилку, використану в експлоїті, виключивши ймовірність атаки-наслідувача. 

Інцидент призвів до того, що побудована ConsenSys мережа Linea Ethereum Layer 2 тимчасово призупинила виробництво блоків в безуспішній спробі мінімізувати втрати від атаки. 

"Оскільки інші способи боротьби з цим подвигом були закриті, наша команда зупинила секвенсор, щоб запобігти витоку додаткових коштів. Це був крайній захід для захисту користувачів Linea", - написано в протоколі на X. хоча Linea заявила, що її метою було в кінцевому підсумку позбавити свою команду можливості зупиняти мережу після того, як відбудеться значна децентралізація, протокол захищав рішення зупинити ланцюжок. "Більшість L2, включаючи Linea, все ще покладаються на централізовані технічні операції, які можуть бути використані для захисту учасників екосистеми. Основна цінність Linea — це середовище, яке не потребує дозволів і стійке до цензури, тому це рішення ми прийняли нелегко», - йдеться в протоколі. 

Velocore звернулася до хакера з повідомленням, що пропонує винагороду в розмірі 10% за повернення решти коштів до 3 червня, 8:00 UTC. Хакер поки не відповів, хоча з тих пір хакер вніс близько 1700 ETH на суму близько 7 мільйонів доларів в кріптовалютний міксер Tornado Cash. Velocore у своєму розтині пообіцяв: "для постраждалих ми зробили знімок стану блокчейна до інциденту. Як тільки операції відновляться, ми реалізуємо відповідний план компенсації для усунення втрат, понесених нашими користувачами».