Аналіз інциденту з Cork Protocol: збитки перевищують 10 мільйонів доларів

28 травня Cork Protocol зазнав інциденту безпеки, що призвело до втрат понад 12 мільйонів доларів. У цій статті буде детально проаналізовано фон події, причини атаки та процес.

Фонові події

28 травня компанія з безпеки виявила підозрілу активність, пов'язану з Cork Protocol, і опублікувала повідомлення про безпеку. Після цього офіційний представник Cork Protocol випустив оголошення, у якому підтвердив, що на ринку wstETH:weETH сталася безпекова подія, і було призупинено всі інші торги на ринку.

Вступ до Cork Protocol

Cork Protocol є інструментом, що надає функцію Depeg свопу для екосистеми DeFi, призначеним для хеджування ризиків відв’язування стабільних монет, ліквідних стейкінг-токенів та інших активів. Його основні концепції включають:

• RA( викуп активів ): для викупу або розрахунків з прив'язкою до події відключення
• PA( пов'язаний актив ): існує ризик відв'язки активу
• DS( деривативи відв'язки ): основний дериватив для хеджування ризику відв'язки
• CT( покриваючий токен ): похідний інструмент для покриття ризиків девальвації та отримання прибутку
• Обмінний курс: основний параметр, що вимірює відношення вартості між PA та RA
• Cork Vault: автоматизоване управління ліквідністю з міжсезонням
• PSM(Peg Stability Module): Відповідає за випуск/знищення DS та CT, встановлення терміну ринку, а також динамічне коригування ціни через AMM.

Аналіз причин атаки

Основні причини цієї атаки полягають у двох аспектах:

1. Cork дозволяє користувачам створювати активи для викупу з будь-яким активом через контракт CorkConfig (RA), що дозволяє зловмисникам використовувати DS як RA.

2. Будь-який користувач може без авторизації викликати функцію beforeSwap контракту CorkHook і передати власні дані hook для виконання операції CorkCall, що дозволяє зловмисникам маніпулювати легальними DS на одному ринку, щоб внести їх на інший ринок як RA, і отримати відповідні токени DS та CT.

Аналіз процесу атаки

1. Зловмисник купує токени weETH8CT-2 на легальному ринку.

2. Створіть новий ринок, використовуючи токен weETH8DS-2 як RA, а wstETH як PA.

3. Додати ліквідність до нового ринку, ініціалізувати ліквідний пул Uniswap v4.

4. Використовуючи unlockCallback під час розблокування Uniswap V4 Pool Manager, викликайте функцію beforeSwap CorkHook, передаючи дані ринку та hook.

5. Функція CorkCall довіряє переданим даним і виконує, переміщуючи легітимний токен weETH8DS-2 на новий ринок як RA, отримуючи токени CT і DS нового ринку.

6. Використовуйте отримані токени CT та DS для викупу токенів weETH8DS-2 на новому ринку.

7. Підключіть weETH8DS-2 до раніше придбаного weETH8CT-2, щоб викупити токени wstETH на первинному ринку.

Аналіз руху коштів

Згідно з аналізом в ланцюгу, адреса атакуючого отримала прибуток у 3,761.878 wstETH, вартість якого перевищує 12 мільйонів доларів США. Атакуючий потім обміняв wstETH на 4,527 ETH. Початкові кошти атакуючого походять з переказу 4.861 ETH з певної торгової платформи. Наразі близько 4,530.5955 ETH все ще залишаються на адресі атакуючого.

Підсумок

Основною причиною цієї атаки є те, що не було суворо перевірено, чи відповідають дані, що передаються користувачем, очікуванням, що призвело до маніпуляції ліквідністю протоколу та її перенесення на неочікувані ринки, внаслідок чого злочинець незаконно викупив активи та отримав прибуток. Розробники повинні уважно перевіряти, чи кожен крок протоколу відповідає очікуванням, та суворо обмежувати типи активів на ринку.