Анализ инцидента с Cork Protocol: убытки превышают 10 миллионов долларов

28 мая Cork Protocol столкнулся с инцидентом безопасности, в результате которого были потеряны более 12 миллионов долларов. В этой статье будет проведен детальный анализ фона события, причин и процесса атаки.

Фон события

28 мая одна из компаний по безопасности обнаружила подозрительную активность, связанную с Cork Protocol, и выпустила предупреждение о безопасности. Затем официальный представитель Cork Protocol опубликовал объявление, подтвердившее, что на рынке wstETH:weETH произошел инцидент безопасности, и приостановил все другие операции на рынке.

Введение в Cork Protocol

Cork Protocol — это инструмент, предоставляющий функции де-пегирования для экосистемы DeFi, предназначенный для хеджирования рисков открепления стабильных монет, ликвидных стейкинговых токенов и других активов. Его ключевые концепции включают:

• RA( выкуп активов ): используется для выкупа или расчета базового актива в случае события открепления.
• PA( привязанный актив ): существует риск отвязки актива
• DS( отклонение свопа ): основной производный инструмент для хеджирования рисков отклонения
• CT( покрывающий токен ): производный инструмент для управления рисками раскрепления и получения прибыли.
• Обменный курс: ключевой параметр, измеряющий соотношение стоимости между PA и RA
• Cork Vault: автоматизированное управление ликвидностью с различными сроками
• PSM(Peg Stability Module): отвечает за выпуск/уничтожение DS и CT, установку рыночного срока и динамическое регулирование цен через AMM.

Анализ причин атаки

Коренные причины этой атаки заключаются в двух аспектах:

1. Cork позволяет пользователям создавать активы для выкупа через контракт CorkConfig с любым активом в качестве выкупа (RA), что позволяет злоумышленникам использовать DS в качестве RA.

2. Любой пользователь может без авторизации вызывать функцию beforeSwap контракта CorkHook и передавать пользовательские данные hook для выполнения операции CorkCall, что позволяет злоумышленнику манипулировать легальными DS на одном рынке, чтобы внести их на другой рынок в качестве RA и получить соответствующие токены DS и CT.

Анализ процесса атаки

1. Злоумышленник покупает токены weETH8CT-2 на легальном рынке.

2. Создайте новый рынок, используя токен weETH8DS-2 в качестве RA и wstETH в качестве PA.

3. Добавить ликвидность на новые рынки, инициализировать пул ликвидности Uniswap v4.

4. Используя unlockCallback при разблокировке Uniswap V4 Pool Manager, вызовите функцию beforeSwap CorkHook, передав настраиваемый рынок и данные hook.

5. Функция CorkCall доверяет переданным данным и выполняет их, переводя законные токены weETH8DS-2 на новый рынок в качестве RA, получая токены CT и DS на новом рынке.

6. Используйте полученные токены CT и DS для обмена на токены weETH8DS-2 на новом рынке.

7. Сопоставьте weETH8DS-2 с ранее приобретенным weETH8CT-2, чтобы выкупить токены wstETH на исходном рынке.

Анализ потоков средств

Согласно анализу блокчейна, адрес атакующего получил прибыль в размере 3,761.878 wstETH, что превышает 12 миллионов долларов США. Атакующий затем обменял wstETH на 4,527 ETH. Исходный капитал атакующего поступил из 4.861 ETH, переведенных с одной торговой платформы. В настоящее время на адресе атакующего все еще находится около 4,530.5955 ETH.

Итог

Основная причина этой атаки заключается в том, что не была строго проверена, соответствуют ли входные данные пользователя ожиданиям, что привело к манипуляциям с ликвидностью протокола и ее переносу на неожиданные рынки, в результате чего злоумышленники незаконно выкупили и получили прибыль. Разработчики должны внимательно проверять, соответствует ли каждая операция протокола ожиданиям, и строго ограничивать типы активов на рынке.