Cork Protocol被黑事件分析：损失超千万美元

5月28日，Cork Protocol遭遇安全事件，导致超过1200万美元的资金损失。本文将对事件背景、攻击原因及过程进行详细分析。

事件背景

5月28日，一家安全公司检测到Cork Protocol相关的可疑活动并发布安全提醒。随后，Cork Protocol官方发布公告确认wstETH:weETH市场发生安全事件，并暂停了所有其他市场交易。

Cork Protocol简介

Cork Protocol是一个为DeFi生态提供Depeg掉期功能的工具，用于对冲稳定币、流动性质押代币等资产的脱锚风险。其核心概念包括:

• RA(赎回资产):用于赎回或结算脱锚事件的基准资产
• PA(挂钩资产):存在脱锚风险的资产
• DS(脱锚掉期):用于对冲脱锚风险的核心衍生工具
• CT(覆盖代币):用于承担脱锚风险并赚取收益的衍生工具
• Exchange Rate:衡量PA与RA之间价值关系的核心参数
• Cork Vault:自动化管理跨期限的流动性
• PSM(Peg Stability Module):负责铸造/销毁DS和CT,设定市场期限,并通过AMM动态调整价格

攻击原因分析

此次攻击的根本原因有两点:

1. Cork允许用户通过CorkConfig合约创建以任意资产作为赎回资产(RA),使攻击者可以将DS作为RA使用。

2. 任意用户可无需授权调用CorkHook合约的beforeSwap函数,并传入自定义hook数据进行CorkCall操作,使攻击者可操控将合法市场中的DS存入另一市场作为RA使用,并获得对应的DS和CT代币。

攻击过程分析

1. 攻击者在合法市场购买weETH8CT-2代币。

2. 创建新市场,以weETH8DS-2代币为RA,wstETH为PA。

3. 向新市场添加流动性,初始化Uniswap v4流动性池。

4. 利用Uniswap V4 Pool Manager解锁时的unlockCallback,调用CorkHook的beforeSwap函数,传入自定市场和hook数据。

5. CorkCall函数信任传入数据并执行,将合法市场的weETH8DS-2代币转入新市场作为RA,获得新市场的CT和DS代币。

6. 使用获得的CT和DS代币在新市场赎回weETH8DS-2代币。

7. 将weETH8DS-2与先前购买的weETH8CT-2匹配,在原市场赎回wstETH代币。

资金流向分析

据链上分析,攻击者地址获利3,761.878 wstETH,价值超1200万美元。攻击者随后将wstETH兑换为4,527 ETH。攻击者的初始资金来自某交易平台转入的4.861 ETH。目前,约4,530.5955 ETH仍留在攻击者地址上。

总结

此次攻击的根本原因在于未严格验证用户传入的数据是否符合预期,导致协议流动性被操控转移到非预期市场中,进而被攻击者非法赎回获利。开发者在设计时应谨慎验证协议的每一步操作是否都在预期中,并严格限制市场的资产类型。