zkSyncEra、Linea上で稼働する取引所「Velocore」ハッキング

2024年06月03日 07時50分

zkSync、Linea上で稼働する分散型取引所「Velocore」がハッキングされ、10億円相当の資産が盗まれる

2日午前9時頃（日本時間）、zkSyncEra、Linea上で稼働する分散型取引所「Velocore（ベロコア）」がフラッシュローン攻撃を受け、約10億円相当のイーサリアムが盗まれた。現在原因となった脆弱性は修正され、被害を受けたユーザーには適切な補償がされるという。

Emergency Notice
Velocore has been exploited, resulting in the loss of most of the liquidity. Our CPMM pools have been affected, but the stable pools have not been impacted, so funds can be withdrawn on our stable pools.

We are working with security teams and foundations, and…
— Velocore | veDEX on zkSync Era / Linea ▪️ (@velocorexyz) June 2, 2024

ハッキング後最初の公式発表

緊急通知
Velocore が悪用され、流動性の大部分が失われました。当社の CPMM プールは影響を受けましたが、ステーブルプールは影響を受けていないため、ステーブルプールから資金を引き出すことができます。
当社はセキュリティチームや財団と協力し・・・

フラッシュローンとは、同一のトランザクション内でローンを返済できることを条件に、無担保で上限無く資産を借り入れることができるDeFi（分散型金融）特有の仕組みだ。一般的にこの仕組みは悪用されないよう対策がなされているが、しばしば対策の甘い部分（脆弱性）があり、そこを突いて攻撃するのがフラッシュローン攻撃だ。

公式発表によると、ハッカーはミキシングサービス「Tornado（トルネード）」から調達した資金を使って、第1世代のAMM「CPMM」が使われているプールのコントラクトの脆弱性を突いて680万ドル（約10億円）相当のイーサリアムを盗んだ。ハッカーはその後、盗んだ資金をトルネードに送り身を隠した。

ミキシングサービスとは

送金元と送金先のつながりを秘匿にするサービス。
「アドレスを無限に生成できる」暗号資産（仮想通貨）の特徴を悪用しており、解読するのは極めて困難。
主に資金洗浄（マネーロンダリング）に使用される。

開発チームは「何度も監査を受け、セキュリティを確保するための予防的機能を実装していたにもかかわらず、このような予期せぬ事態が迅速に発生しました。私たちを信頼してくださったユーザーの皆様に深くお詫び申し上げます」と述べ、「様々なプロトコルや取引所に協力を要請し、オンチェーン交渉を試みながら、ハッカーを追跡するために積極的に調査を行う」とした。

また、影響を受けたユーザーには「適切な補償」を行うという。