在 Telos、zkSync Era 和 Linea 区块链上运行的去中心化交易所 Velocore,昨晚因控制其流动性池的智能合约中的一个漏洞,被人盗取了约 680 万美元的代币。
一名黑客利用溢出逻辑中的漏洞,诱使 Velocore 将小额取款变成大额存款。在闪电贷款的帮助下,该黑客得以耗尽 Velocore 在 zkSync Era 和 Linea 上的 "波动池",尽管该团队能够保护其在 Telos 上的资产。"稳定池 "未受影响。
"尽管进行了多次审计并实施了预防功能以确保安全,但这一突发事件还是迅速发生了。我们深感悲痛,并向信任我们的用户表示诚挚的歉意,"Velocore 在事后总结中写道。Velocore 还禁用了漏洞利用中使用的逻辑缺陷,消除了模仿攻击的机会。
此次事件导致 ConsenSys 构建的 Linea 以太坊第 2 层网络暂时停止区块生产,试图减轻攻击造成的损失,但未能成功。
"由于处理这一漏洞的其他途径已经关闭,我们的团队停止了定序器,以防止更多资金桥接出来。这是保护 Linea 上用户的最后手段,"该协议在 X 上写道。虽然 Linea 表示其目标是在显著的去中心化发生后,最终剥夺其团队停止网络的能力,但该协议还是为停止链的决定进行了辩护。"包括 Linea 在内的大多数 L2 仍然依赖于中心化的技术操作,这些操作可以用来保护生态系统的参与者。Linea 的核心价值是一个无许可、抗审查的环境,因此我们不会轻易做出这个决定,"该协议写道。
Velocore 已向黑客发出信息,悬赏 10%的白帽奖金,要求其在 6 月 3 日 8:00 UTC 之前归还剩余资金。尽管黑客已经将价值约 700 万美元的约 1700 个以太币存入加密货币混合器龙卷风现金(Tornado Cash),但黑客尚未做出回应。Velocore 在事后报告中承诺:"对于那些受到影响的用户,我们已经对事件发生前的区块链状态进行了快照。一旦恢复运营,我们将实施适当的补偿计划,以解决用户遭受的损失"。