Phân tích sự cố bị hack của Cork Protocol: Thiệt hại vượt quá 10 triệu đô la

Vào ngày 28 tháng 5, Cork Protocol đã gặp phải sự kiện an ninh, dẫn đến thiệt hại hơn 1200 triệu đô la. Bài viết này sẽ phân tích chi tiết bối cảnh sự kiện, nguyên nhân và quá trình tấn công.

Bối cảnh sự kiện

Vào ngày 28 tháng 5, một công ty an ninh đã phát hiện hoạt động đáng ngờ liên quan đến Cork Protocol và phát hành thông báo an toàn. Sau đó, Cork Protocol đã phát hành thông cáo xác nhận rằng thị trường wstETH:weETH đã xảy ra sự cố an ninh và đã tạm ngừng tất cả các giao dịch thị trường khác.

Giới thiệu về Giao thức Cork

Cork Protocol là một công cụ cung cấp chức năng hoán đổi Depeg cho hệ sinh thái DeFi, được sử dụng để phòng ngừa rủi ro mất giá của các tài sản như stablecoin, token staking có tính thanh khoản. Các khái niệm cốt lõi của nó bao gồm:

• RA( tài sản ): tài sản chuẩn dùng để thanh lý hoặc giải quyết sự kiện tách rời.
• Tài sản liên kết PA( ): Tài sản có nguy cơ bị mất liên kết.
• DS( hoán đổi thoát neo ): công cụ phái sinh cốt lõi để phòng ngừa rủi ro thoát neo
• CT( bao phủ token ): công cụ phái sinh để chịu rủi ro mất giá và kiếm lợi nhuận.
• Tỷ giá: Tham số cốt lõi đo lường mối quan hệ giá trị giữa PA và RA
• Cork Vault: Quản lý tự động tính thanh khoản qua các thời hạn
• PSM(Peg Stability Module): Chịu trách nhiệm đúc/tiêu hủy DS và CT, thiết lập thời hạn thị trường, và điều chỉnh giá một cách động thông qua AMM.

Phân tích nguyên nhân tấn công

Nguyên nhân cơ bản của cuộc tấn công lần này có hai điểm:

1. Cork cho phép người dùng tạo tài sản được dùng để đổi lấy bất kỳ tài sản nào thông qua hợp đồng CorkConfig (RA), cho phép kẻ tấn công sử dụng DS làm RA.

2. Bất kỳ người dùng nào cũng có thể gọi hàm beforeSwap của hợp đồng CorkHook mà không cần được ủy quyền, và truyền dữ liệu hook tùy chỉnh để thực hiện thao tác CorkCall, cho phép kẻ tấn công kiểm soát việc gửi DS hợp pháp từ thị trường này sang thị trường khác để sử dụng làm RA, và nhận được các token DS và CT tương ứng.

Phân tích quy trình tấn công

1. Kẻ tấn công mua weETH8CT-2 token trên thị trường hợp pháp.

2. Tạo thị trường mới, sử dụng token weETH8DS-2 làm RA, wstETH làm PA.

3. Thêm thanh khoản vào thị trường mới, khởi tạo bể thanh khoản Uniswap v4.

4. Sử dụng unlockCallback của Uniswap V4 Pool Manager khi mở khóa, gọi hàm beforeSwap của CorkHook, truyền vào thị trường tự định nghĩa và dữ liệu hook.

5. Hàm CorkCall tin tưởng dữ liệu đầu vào và thực hiện, chuyển token weETH8DS-2 hợp pháp của thị trường vào thị trường mới với tư cách là RA, nhận token CT và DS của thị trường mới.

6. Sử dụng các token CT và DS đã nhận để đổi lấy token weETH8DS-2 trên thị trường mới.

7. Kết hợp weETH8DS-2 với weETH8CT-2 đã mua trước đó, để đổi lấy token wstETH tại thị trường gốc.

Phân tích dòng tiền

Theo phân tích trên chuỗi, địa chỉ của kẻ tấn công đã thu lợi 3,761.878 wstETH, trị giá hơn 12 triệu đô la Mỹ. Kẻ tấn công sau đó đã đổi wstETH lấy 4,527 ETH. Vốn ban đầu của kẻ tấn công đến từ 4.861 ETH được chuyển từ một nền tảng giao dịch. Hiện tại, khoảng 4,530.5955 ETH vẫn còn lại trong địa chỉ của kẻ tấn công.

Tóm tắt

Nguyên nhân cơ bản của cuộc tấn công lần này là do không xác minh nghiêm ngặt dữ liệu do người dùng gửi đến có phù hợp với mong đợi hay không, dẫn đến tính thanh khoản của giao thức bị thao túng và chuyển đến thị trường không mong đợi, từ đó bị kẻ tấn công tự ý rút tiền để thu lợi. Các nhà phát triển nên cẩn thận xác minh từng bước hoạt động của giao thức có nằm trong dự kiến hay không và hạn chế nghiêm ngặt loại tài sản trên thị trường.