Velocore遭黑：688万损失谁来买单？

Velocore 遭攻击：损失超 680 万美元，DeFi 安全再敲警钟

部署在 Layer2 网络 zkSync 和 Linea 上的去中心化交易平台 Velocore 在昨天（2 日）遭遇黑客攻击，损失高达 1807 个 ETH，约合 688 万美元！ 这无疑给 DeFi 领域的安全再次敲响了警钟。

最安全的虚拟币交易平台推荐：

• OKX（欧易交易所）>>>进入官网<<< >>>官方下载<<<
• Binance（币安交易所）>>>进入官网<<< >>>官方下载<<<

链上分析师余烬指出，Velocore 平台上所有用户的流动性资金几乎都被盗取一空。黑客得手后，迅速将赃款通过跨链桥转移至以太坊主网，并将所有 ETH 转移到 0xe40 地址，企图利用混币器协议 Tornado 将资金洗白，隐藏踪迹。

DeFi 数据平台 DefiLlama 的数据显示，Velocore 遭受攻击后，其总锁定价值（TVL）从前一天的 1016 万美元暴跌至 83.5 万美元，跌幅高达 92%！ 这对于 Velocore 来说，无疑是一次沉重的打击。

合约漏洞是罪魁祸首

Velocore 团队在事后发布了一份安全检讨报告，详细分析了本次攻击事件的经过。报告指出，攻击的根本原因在于 Balancer-style CPMM 池存在合约漏洞。

报告中还列出了各个资金池的安全状况：

• Linea 和 zkSync Era 链上的 Velocore 中所有 CPMM 池均受到影响。
• 稳定池 (stable pool) 未受影响。
• Telos 链上的 Velocore 也存在同样的问题，但团队已经在问题被利用前进行了处理，避免了损失。
• Blast 链上的 Bladeswap 虽然使用了 Velocore 的核心合约，但由于 Bladeswap 采用的是 XYK 池而非 CPMM 池，因此未受此次合约漏洞的影响。

恒定乘积做市商 CPMM 是 DeFi 流动性矿池早期采用的函数之一，其函式算法为：x*y=k。 其中 x 和 y 是池中资产的储存量，k 是一个不变的常数。 该函式根据每个代币的可用数量（流动性）确定两种代币的价格范围。 这意味着代币 X 的供应量增加，则代币 Y 的供应量减少，以保持恒定值 k。

熟悉的配方：闪电贷攻击

根据报告显示，攻击者首先从混币器协议 Tornado 获取资金，为后续操作做准备。 接着，攻击者利用闪电贷款获取流动性提供者 (LP) 代币，并提取了大部分代币，导致流动性池的规模大幅缩小。 随后，攻击者利用代币合约漏洞铸造了异常大量的 LP 代币，从而偿还了闪电贷款，完成了一次教科书般的闪电贷攻击。

先恢复运营，再补偿用户

针对本次黑客攻击，Velocore 团队表示正在积极追查黑客的踪迹，同时也尝试与黑客进行链上协商。 Velocore 在链上向黑客喊话，表示如果黑客能在 6 月 3 日下午 4 点前归还剩余资金，团队愿意提供 10% 的白帽黑客赏金。 但截至目前，黑客尚未对此做出回应。

Velocore 团队还表示会对受影响的用户提供补偿，并已经对攻击事件发生前的区块状态进行了快照。 不过，补偿计划需要等待 Velocore 恢复运营后才会着手执行。 这对于遭受损失的用户来说，无疑是一个漫长的等待。