
Velocore perd 6,88 millions d'ETH, toute la liquidité des utilisateurs réduite à zéro, que s'est-il passé ?
TechFlow SélectionTechFlow Sélection

Velocore perd 6,88 millions d'ETH, toute la liquidité des utilisateurs réduite à zéro, que s'est-il passé ?
L'équipe a indiqué qu'elle fournirait une compensation aux personnes concernées et a effectué une capture de l'état des blocs antérieure à l'incident d'attaque.
Rédaction : Ting, BlockTempo
Hier, la plateforme décentralisée Velocore a été victime d'une attaque de piratage informatique, entraînant le vol de 1807 ETH (environ 6,88 millions de dollars), et l'équipe a publié un rapport post-incident exposant les pools de liquidités affectés, la méthode utilisée par les hackers ainsi que le plan de compensation prévu.
La plateforme décentralisée Velocore, déployée sur les réseaux Layer2 zkSync et Linea, a subi une attaque hier (2), entraînant une perte totale de 1807 ETH (environ 6,88 millions de dollars).
L'analyste blockchain Yujin a indiqué que toutes les liquidités des utilisateurs présentes sur la plateforme ont été drainées. Le pirate a ensuite transféré les fonds obtenus vers le réseau principal d'Ethereum via des ponts inter-chaînes, envoyant tous les ETH vers l'adresse 0xe40, puis a utilisé le protocole de mixage Tornado pour dissimuler et blanchir les fonds.
Par ailleurs, selon les données de la plateforme DeFi DefiLlama, après l'attaque, la valeur totale verrouillée (TVL) de Velocore est passée de 10,16 millions de dollars la veille à seulement 835 000 dollars, soit une chute de 92 %.
Une vulnérabilité contractuelle à l'origine de l'attaque
Hier, l'équipe de Velocore a publié un rapport d'analyse de sécurité concernant cet incident. Ce rapport identifie une vulnérabilité dans les pools CPMM (Constant Product Market Maker) de type Balancer comme cause principale de l'attaque. Voici les points clés relatifs à la sécurité des différents pools :
-
Tous les pools CPMM de Velocore sur les chaînes Linea et zkSync Era ont été compromis.
-
Les pools stables (stable pools) n'ont pas été affectés.
-
Velocore sur la chaîne Telos présentait également cette même vulnérabilité, mais l'équipe a corrigé le problème avant qu'il ne soit exploité.
-
Bladeswap sur la chaîne Blast utilise les contrats principaux de Velocore, mais n'a pas été impacté car il repose sur des pools XYK au lieu de pools CPMM.
Le modèle CPMM (Constant Product Market Maker) est l'une des fonctions initialement adoptées par les pools de liquidité DeFi. Son algorithme suit la formule x*y=k, où x et y représentent les quantités des actifs présents dans le pool, et k une constante. Cette fonction détermine la fourchette de prix entre deux jetons en fonction de leur disponibilité (liquidité). Cela signifie qu'une augmentation de l'offre du jeton X entraîne automatiquement une diminution de l'offre du jeton Y afin de maintenir la constante k.
Encore une attaque par prêt flash ?
Selon le rapport, l'attaquant a tout d'abord obtenu des fonds via le protocole de mixage Tornado pour remplir les conditions nécessaires au déclenchement de la vulnérabilité. Il a ensuite utilisé des prêts flash pour acquérir des jetons LP (Liquidité Provider), retirant une grande partie des liquidités et réduisant drastiquement la taille du pool. Ensuite, en exploitant une faille dans le contrat du jeton, il a pu frapper un volume anormalement élevé de jetons LP, lui permettant ainsi de rembourser ses prêts flash.
Compensation des utilisateurs après reprise d'activité
Concernant cette attaque, l'équipe de Velocore affirme mener activement des investigations pour retrouver le pirate, et tente également d'engager des négociations avec lui via la blockchain. Un message envoyé par Velocore directement à l'adresse du pirate précise :
Si le pirate restitue les fonds restants avant 16h le 3 juin, l'équipe est prête à lui accorder une prime de 10 % en tant que hacker éthique (white hat).
À ce jour, aucune réponse n’a été donnée par le pirate.
Par ailleurs, l’équipe a annoncé qu’elle indemniserait les utilisateurs touchés, ayant déjà effectué une capture (snapshot) de l’état des blocs antérieur à l’attaque. Toutefois, ce plan de compensation ne sera mis en œuvre qu’après la reprise complète des opérations de Velocore.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News












