A exchange descentralizada Velocore foi hackeada, resultando na perda de cerca de US$ 7 milhões em tokens. O ataque ocorreu devido a uma vulnerabilidade na lógica dos contratos inteligentes que controlam seus pools de liquidez.
Post-mortem on the exploit of Velocore
This incident is unlikely to extend to other protocols, so other users of @LineaBuild and @zksync can rest assured.
We apologize to all affected partners and users and are working diligently with various security partners to resolve the… pic.twitter.com/rfeqIwmMJX
— Velocore | veDEX on zkSync Era / Linea ▪️ (@velocorexyz) June 2, 2024
O hacker explorou uma falha de lógica de overflow para transformar um pequeno saque em um grande depósito, utilizando um empréstimo relâmpago para drenar as ‘volatile pools’ nas redes zkSync Era e Linea. Felizmente, os ativos na rede Telos foram protegidos e as ‘stable pools’ não foram afetados.
Resposta da Velocore e da Linea
Após o ataque, a equipe da blockchain Linea interrompeu temporariamente a produção de blocos na tentativa de mitigar as perdas. A produção de blocos foi retomada posteriormente. A Velocore desativou a falha lógica explorada pelo hacker para evitar futuros ataques semelhantes.
🔊Update on Velocore Incident
The Velocore DEX was exploited. Our teams have been employing our ecosystem security measures to mitigate the damage from this attack. More info in this thread.
Linea network remains secure, this only affected a 3rd party dapp.
— Linea (@LineaBuild) June 2, 2024
A empresa expressou pesar pelo incidente e pediu desculpas aos usuários afetados. Para tentar recuperar os fundos, a Velocore ofereceu uma recompensa de 10% ao hacker, solicitando a devolução do restante dos fundos até 3 de junho.
‘Apesar de passarmos por diversas auditorias e implementarmos recursos preventivos para garantir a segurança, esse incidente inesperado aconteceu rapidamente. Estamos profundamente tristes e pedimos sinceras desculpas aos nossos usuários que confiaram em nós’, escreveu a Velocore em sua autópsia .
Impacto na comunidade e medidas futuras
A comunidade cripto expressou preocupação com a segurança dos contratos inteligentes e a necessidade de auditorias mais rigorosas. A Velocore prometeu implementar um plano de compensação para os usuários afetados após a retomada das operações.
A empresa também garantiu que um ‘snapshot’ do estado da blockchain foi feito antes do incidente para auxiliar na compensação justa dos prejuízos. Enquanto isso, o hacker depositou cerca de 1.700 ETH, equivalentes a aproximadamente US$ 7 milhões, no mixer de criptomoedas Tornado Cash.
