Cork Protocol被黑事件分析：損失超千萬美元

5月28日，Cork Protocol遭遇安全事件，導致超過1200萬美元的資金損失。本文將對事件背景、攻擊原因及過程進行詳細分析。

事件背景

5月28日，一家安全公司檢測到Cork Protocol相關的可疑活動並發布安全提醒。隨後，Cork Protocol官方發布公告確認wstETH:weETH市場發生安全事件，並暫停了所有其他市場交易。

Cork Protocol簡介

Cork Protocol是一個爲DeFi生態提供Depeg掉期功能的工具，用於對沖穩定幣、流動性質押代幣等資產的脫錨風險。其核心概念包括:

• RA(贖回資產):用於贖回或結算脫錨事件的基準資產
• PA(掛鉤資產):存在脫錨風險的資產
• DS(脫錨掉期):用於對沖脫錨風險的核心衍生工具
• CT(覆蓋代幣):用於承擔脫錨風險並賺取收益的衍生工具
• Exchange Rate:衡量PA與RA之間價值關係的核心參數
• Cork Vault:自動化管理跨期限的流動性
• PSM(Peg Stability Module):負責鑄造/銷毀DS和CT,設定市場期限,並通過AMM動態調整價格

攻擊原因分析

此次攻擊的根本原因有兩點:

1. Cork允許用戶通過CorkConfig合約創建以任意資產作爲贖回資產(RA),使攻擊者可以將DS作爲RA使用。

2. 任意用戶可無需授權調用CorkHook合約的beforeSwap函數,並傳入自定義hook數據進行CorkCall操作,使攻擊者可操控將合法市場中的DS存入另一市場作爲RA使用,並獲得對應的DS和CT代幣。

攻擊過程分析

1. 攻擊者在合法市場購買weETH8CT-2代幣。

2. 創建新市場,以weETH8DS-2代幣爲RA,wstETH爲PA。

3. 向新市場添加流動性,初始化Uniswap v4流動性池。

4. 利用Uniswap V4 Pool Manager解鎖時的unlockCallback,調用CorkHook的beforeSwap函數,傳入自定市場和hook數據。

5. CorkCall函數信任傳入數據並執行,將合法市場的weETH8DS-2代幣轉入新市場作爲RA,獲得新市場的CT和DS代幣。

6. 使用獲得的CT和DS代幣在新市場贖回weETH8DS-2代幣。

7. 將weETH8DS-2與先前購買的weETH8CT-2匹配,在原市場贖回wstETH代幣。

資金流向分析

據鏈上分析,攻擊者地址獲利3,761.878 wstETH,價值超1200萬美元。攻擊者隨後將wstETH兌換爲4,527 ETH。攻擊者的初始資金來自某交易平台轉入的4.861 ETH。目前,約4,530.5955 ETH仍留在攻擊者地址上。

總結

此次攻擊的根本原因在於未嚴格驗證用戶傳入的數據是否符合預期,導致協議流動性被操控轉移到非預期市場中,進而被攻擊者非法贖回獲利。開發者在設計時應謹慎驗證協議的每一步操作是否都在預期中,並嚴格限制市場的資產類型。