Cork Protocol 安全事件分析:超千万美元损失

5 月 28 日,一起涉及 Cork Protocol 的安全事件引发了业内广泛关注。事件发生后,Cork Protocol 迅速采取行动,暂停了所有市场交易以防止风险进一步扩大。目前团队正在积极调查事件原因,并承诺持续更新相关进展。

事件背景

Cork Protocol 是一个为 DeFi 生态提供类似传统金融中信用违约掉期(CDS)功能的工具,主要用于对冲稳定币、流动性质押代币、RWA 等挂钩资产的脱锚风险。其核心机制允许用户通过交易风险衍生品,将稳定币或 LST/LRT 的价格波动风险转移给市场参与者,从而降低风险并提升资本效率。

攻击原因分析

此次攻击的根本原因主要有两点:

1. Cork 允许用户通过 CorkConfig 合约创建以任意资产作为赎回资产(RA),使攻击者可以将 DS 作为 RA 使用。

2. 任意用户都可以无需授权地调用 CorkHook 合约的 beforeSwap 函数,并允许用户传入自定的 hook 数据进行 CorkCall 操作。这使得攻击者可以操控,将合法市场中的 DS 存入另一个市场中作为 RA 使用,并获得对应的 DS 和 CT 代币。

攻击过程详解

攻击者首先在合法市场上购买了 weETH8CT-2 代币,为后续操作做准备。随后创建了一个新市场,使用自定的 Exchange Rate 提供商,以 weETH8DS-2 代币作为 RA,wstETH 作为 PA。

攻击者通过向新市场添加流动性,使协议在 Uniswap v4 中初始化对应的流动性池。关键的是,在 Uniswap V4 Pool Manager 解锁条件下,任何用户都可以调用 CorkHook 的 beforeSwap 函数并传入任意参数。

攻击者利用这一点,通过 Uniswap V4 Pool Manager 的 unlockCallback 功能,调用 CorkHook 的 beforeSwap 函数,并传入其自定的市场和 hook 数据。这使得攻击者可以将合法市场中的 weETH8DS-2 代币转入新市场作为 RA,并获得新市场对应的 CT 与 DS 代币。

最后,攻击者利用 PSM 的特性,用获得的 CT 和 DS 代币在新市场赎回 RA 代币(weETH8DS-2)。再将这些 weETH8DS-2 代币与先前购买的 weETH8CT-2 代币匹配,在原有市场赎回 wstETH 代币,完成攻击。

资金流向分析

根据链上分析,攻击者地址获利 3,761.878 wstETH,价值超 1,200 万美元。随后,攻击者通过 8 笔交易将 wstETH 兑换为 4,527 ETH。

攻击者的初始资金来自一个交易平台转入的 4.861 ETH。目前,共有 4,530.5955 ETH 停留在攻击者地址上,相关机构正持续对这些资金进行监控。

总结与建议

此次攻击的根本原因在于未严格验证用户传入的数据是否符合预期,使得协议流动性可被操控转移到非预期的市场中,进而被攻击者非法赎回获利。

安全专家建议开发者在进行设计时,应该谨慎验证协议的每一步操作是否都在预期中,并严格限制市场的资产类型。只有通过不断完善安全措施,才能有效防范此类攻击事件的发生。