Cork Protocol 遭黑客攻擊，損失超千萬美元

5 月 28 日，一家安全公司檢測到與 Cork Protocol 相關的潛在可疑活動並發布安全提醒，建議用戶提高警惕，注意帳戶與資金安全。

隨後，Cork Protocol 發布公告表示："今日 UTC 時間 11:23，wstETH:weETH 市場發生安全事件。爲防止風險擴大，Cork 已暫停所有其他市場交易，目前暫無其他市場受影響。團隊正在積極調查事件原因，並將持續更新相關進展。"

事件發生後，多家安全團隊介入分析，以下是對攻擊手法及資金轉移路徑的詳細解析。

Cork Protocol 簡介

Cork Protocol 是一個爲 DeFi 生態提供類似傳統金融中信用違約掉期(CDS)功能的工具 - Depeg 掉期，專門用於對沖穩定幣、流動性質押代幣、RWA 等掛鉤資產的脫錨風險。其核心機制圍繞穩定幣和流動性質押代幣的脫錨風險展開，允許用戶通過交易風險衍生品，將穩定幣或 LST/LRT 的價格波動風險轉移給市場參與者，從而降低風險並提升資本效率。

攻擊原因分析

此次攻擊的根本原因在於兩個方面：

1. Cork 允許用戶通過 CorkConfig 合約創建以任意資產作爲贖回資產(RA)，使得攻擊者可以將 DS 作爲 RA 使用。

2. 任意用戶都可以無需授權地調用 CorkHook 合約的 beforeSwap 函數，並允許用戶傳入自定的 hook 數據進行 CorkCall 操作，使得攻擊者可以操控，將合法市場中的 DS 存入另一個市場中作爲 RA 使用，並獲得對應的 DS 和 CT 代幣。

攻擊過程詳解

1. 攻擊者首先在合法市場上用 wstETH 購買了 weETH8CT-2 代幣，以便最後可以與 DS 代幣組合贖回作爲 RA 的 wstETH 代幣。

2. 攻擊者創建了一個新的市場，使用自定的 Exchange Rate 提供商，以 weETH8DS-2 代幣作爲 RA，wstETH 作爲 PA 進行創建。

3. 攻擊者向新市場添加一定的流動性，使得協議可以在 Uniswap v4 中初始化對應的流動性池。

4. 攻擊者通過 Uniswap V4 Pool Manager 在解鎖時的 unlockCallback 功能，調用 CorkHook 的 beforeSwap 函數並傳入其自定的市場以及 hook 數據。

5. beforeSwap 將回調合法市場的 CorkCall 函數，執行指定的 hook 數據。

6. 攻擊者通過構造 hook 數據，將合法市場中指定數量的 weETH8DS-2 代幣轉入由其創建的新市場中作爲 RA，並獲得新市場對應的 CT 與 DS 代幣。

7. 攻擊者使用獲得的 CT 與 DS 代幣在新市場贖回 RA 代幣，即 weETH8DS-2 代幣。

8. 攻擊者將獲得的 weETH8DS-2 代幣與先前購買的 weETH8CT-2 代幣匹配，在原有的市場贖回 wstETH 代幣。

資金流向分析

據鏈上分析，攻擊者地址獲利 3,761.878 wstETH，價值超 1,200 萬美元。

隨後，攻擊者通過 8 筆交易將 wstETH 兌換爲 4,527 ETH。

攻擊者的初始資金來自某交易平台轉入的 4.861 ETH。

截至目前，共有 4,530.5955 ETH 停留在攻擊者地址上。

總結

此次攻擊的根本原因在於未嚴格驗證用戶傳入的數據是否符合預期，從而使得協議流動性可以被操控轉移到非預期的市場中，進而被攻擊者非法贖回獲利。安全專家建議開發者在進行設計時，應該謹慎驗證協議的每一步操作是否都在預期中，並嚴格限制市場的資產類型。