Sàn giao dịch phi tập trung Velocore giải quyết vụ hack 7 triệu đô la trong báo cáo hậu kiểm, đề nghị tiền thưởng cho hacker

Sàn giao dịch phi tập trung Velocore, hoạt động trên các blockchain Telos, zkSync Era và Linea, đã bị khai thác khoảng 6,8 triệu đô la Mỹ trong các token vào đêm qua thông qua một lỗ hổng trong các hợp đồng thông minh kiểm soát các bể thanh khoản của nó. 

Một hacker đã có thể khai thác lỗ hổng trong logic tràn để lừa Velocore biến một khoản rút nhỏ thành một khoản gửi lớn. Với sự trợ giúp của một khoản vay nhanh, hacker đã có thể rút cạn các "bể biến động" của Velocore trên zkSync Era và Linea, mặc dù đội ngũ đã có thể bảo vệ tài sản của mình trên Telos. Các "bể ổn định" không bị ảnh hưởng. 

"Mặc dù đã trải qua nhiều cuộc kiểm toán và triển khai các tính năng phòng ngừa để đảm bảo an ninh, sự cố bất ngờ này đã xảy ra nhanh chóng. Chúng tôi rất buồn và chân thành xin lỗi người dùng đã tin tưởng chúng tôi," Velocore viết trong báo cáo sau sự cố. Velocore cũng đã vô hiệu hóa lỗi logic được sử dụng trong cuộc tấn công, loại bỏ khả năng xảy ra một cuộc tấn công sao chép. 

Sự cố đã khiến mạng Layer 2 Ethereum Linea do ConsenSys xây dựng tạm thời dừng sản xuất khối trong một nỗ lực không thành công để giảm thiểu thiệt hại từ cuộc tấn công. 

"Vì các phương án khác để xử lý lỗ hổng này đã đóng lại, đội ngũ của chúng tôi đã dừng bộ sắp xếp để ngăn chặn thêm các quỹ bị chuyển ra ngoài. Đây là hành động cuối cùng để bảo vệ người dùng trên Linea," giao thức viết trên X. Mặc dù Linea tuyên bố mục tiêu của mình là cuối cùng sẽ loại bỏ khả năng dừng mạng từ đội ngũ của mình khi đã đạt được sự phân quyền đáng kể, giao thức đã bảo vệ quyết định dừng chuỗi. "Hầu hết các L2, bao gồm Linea, vẫn dựa vào các hoạt động kỹ thuật tập trung có thể được sử dụng để bảo vệ các thành viên trong hệ sinh thái. Giá trị cốt lõi của Linea là một môi trường không cần sự cho phép, chống kiểm duyệt nên đây không phải là quyết định chúng tôi đưa ra một cách nhẹ nhàng," giao thức viết. 

Velocore đã liên hệ với hacker với một thông điệp đề nghị một khoản tiền thưởng mũ trắng 10% để đổi lại phần còn lại của các quỹ trước ngày 3 tháng 6, 8:00 UTC. Hacker vẫn chưa trả lời, mặc dù hacker đã gửi khoảng 1700 eth, trị giá khoảng 7 triệu đô la Mỹ, vào máy trộn tiền điện tử Tornado Cash. Velocore, trong báo cáo sau sự cố, hứa hẹn, "Đối với những người bị ảnh hưởng, chúng tôi đã chụp lại trạng thái blockchain trước khi sự cố xảy ra. Khi hoạt động được tiếp tục, chúng tôi sẽ triển khai một kế hoạch bồi thường thích hợp để giải quyết các tổn thất mà người dùng của chúng tôi đã chịu."