Cork Protocol 安全事件分析:超千萬美元損失

5 月 28 日,一起涉及 Cork Protocol 的安全事件引發了業內廣泛關注。事件發生後,Cork Protocol 迅速採取行動,暫停了所有市場交易以防止風險進一步擴大。目前團隊正在積極調查事件原因,並承諾持續更新相關進展。

事件背景

Cork Protocol 是一個爲 DeFi 生態提供類似傳統金融中信用違約掉期(CDS)功能的工具,主要用於對沖穩定幣、流動性質押代幣、RWA 等掛鉤資產的脫錨風險。其核心機制允許用戶通過交易風險衍生品,將穩定幣或 LST/LRT 的價格波動風險轉移給市場參與者,從而降低風險並提升資本效率。

攻擊原因分析

此次攻擊的根本原因主要有兩點:

1. Cork 允許用戶通過 CorkConfig 合約創建以任意資產作爲贖回資產(RA),使攻擊者可以將 DS 作爲 RA 使用。

2. 任意用戶都可以無需授權地調用 CorkHook 合約的 beforeSwap 函數,並允許用戶傳入自定的 hook 數據進行 CorkCall 操作。這使得攻擊者可以操控,將合法市場中的 DS 存入另一個市場中作爲 RA 使用,並獲得對應的 DS 和 CT 代幣。

攻擊過程詳解

攻擊者首先在合法市場上購買了 weETH8CT-2 代幣,爲後續操作做準備。隨後創建了一個新市場,使用自定的 Exchange Rate 提供商,以 weETH8DS-2 代幣作爲 RA,wstETH 作爲 PA。

攻擊者通過向新市場添加流動性,使協議在 Uniswap v4 中初始化對應的流動性池。關鍵的是,在 Uniswap V4 Pool Manager 解鎖條件下,任何用戶都可以調用 CorkHook 的 beforeSwap 函數並傳入任意參數。

攻擊者利用這一點,通過 Uniswap V4 Pool Manager 的 unlockCallback 功能,調用 CorkHook 的 beforeSwap 函數,並傳入其自定的市場和 hook 數據。這使得攻擊者可以將合法市場中的 weETH8DS-2 代幣轉入新市場作爲 RA,並獲得新市場對應的 CT 與 DS 代幣。

最後,攻擊者利用 PSM 的特性,用獲得的 CT 和 DS 代幣在新市場贖回 RA 代幣(weETH8DS-2)。再將這些 weETH8DS-2 代幣與先前購買的 weETH8CT-2 代幣匹配,在原有市場贖回 wstETH 代幣,完成攻擊。

資金流向分析

根據鏈上分析,攻擊者地址獲利 3,761.878 wstETH,價值超 1,200 萬美元。隨後,攻擊者通過 8 筆交易將 wstETH 兌換爲 4,527 ETH。

攻擊者的初始資金來自一個交易平台轉入的 4.861 ETH。目前,共有 4,530.5955 ETH 停留在攻擊者地址上,相關機構正持續對這些資金進行監控。

總結與建議

此次攻擊的根本原因在於未嚴格驗證用戶傳入的數據是否符合預期,使得協議流動性可被操控轉移到非預期的市場中,進而被攻擊者非法贖回獲利。

安全專家建議開發者在進行設計時,應該謹慎驗證協議的每一步操作是否都在預期中,並嚴格限制市場的資產類型。只有通過不斷完善安全措施,才能有效防範此類攻擊事件的發生。