Cork Protocol 遭黑客攻击，损失超千万美元

5 月 28 日，一家安全公司检测到与 Cork Protocol 相关的潜在可疑活动并发布安全提醒，建议用户提高警惕，注意账户与资金安全。

随后，Cork Protocol 发布公告表示："今日 UTC 时间 11:23，wstETH:weETH 市场发生安全事件。为防止风险扩大，Cork 已暂停所有其他市场交易，目前暂无其他市场受影响。团队正在积极调查事件原因，并将持续更新相关进展。"

事件发生后，多家安全团队介入分析，以下是对攻击手法及资金转移路径的详细解析。

Cork Protocol 简介

Cork Protocol 是一个为 DeFi 生态提供类似传统金融中信用违约掉期(CDS)功能的工具 - Depeg 掉期，专门用于对冲稳定币、流动性质押代币、RWA 等挂钩资产的脱锚风险。其核心机制围绕稳定币和流动性质押代币的脱锚风险展开，允许用户通过交易风险衍生品，将稳定币或 LST/LRT 的价格波动风险转移给市场参与者，从而降低风险并提升资本效率。

攻击原因分析

此次攻击的根本原因在于两个方面：

1. Cork 允许用户通过 CorkConfig 合约创建以任意资产作为赎回资产(RA)，使得攻击者可以将 DS 作为 RA 使用。

2. 任意用户都可以无需授权地调用 CorkHook 合约的 beforeSwap 函数，并允许用户传入自定的 hook 数据进行 CorkCall 操作，使得攻击者可以操控，将合法市场中的 DS 存入另一个市场中作为 RA 使用，并获得对应的 DS 和 CT 代币。

攻击过程详解

1. 攻击者首先在合法市场上用 wstETH 购买了 weETH8CT-2 代币，以便最后可以与 DS 代币组合赎回作为 RA 的 wstETH 代币。

2. 攻击者创建了一个新的市场，使用自定的 Exchange Rate 提供商，以 weETH8DS-2 代币作为 RA，wstETH 作为 PA 进行创建。

3. 攻击者向新市场添加一定的流动性，使得协议可以在 Uniswap v4 中初始化对应的流动性池。

4. 攻击者通过 Uniswap V4 Pool Manager 在解锁时的 unlockCallback 功能，调用 CorkHook 的 beforeSwap 函数并传入其自定的市场以及 hook 数据。

5. beforeSwap 将回调合法市场的 CorkCall 函数，执行指定的 hook 数据。

6. 攻击者通过构造 hook 数据，将合法市场中指定数量的 weETH8DS-2 代币转入由其创建的新市场中作为 RA，并获得新市场对应的 CT 与 DS 代币。

7. 攻击者使用获得的 CT 与 DS 代币在新市场赎回 RA 代币，即 weETH8DS-2 代币。

8. 攻击者将获得的 weETH8DS-2 代币与先前购买的 weETH8CT-2 代币匹配，在原有的市场赎回 wstETH 代币。

资金流向分析

据链上分析，攻击者地址获利 3,761.878 wstETH，价值超 1,200 万美元。

随后，攻击者通过 8 笔交易将 wstETH 兑换为 4,527 ETH。

攻击者的初始资金来自某交易平台转入的 4.861 ETH。

截至目前，共有 4,530.5955 ETH 停留在攻击者地址上。

总结

此次攻击的根本原因在于未严格验证用户传入的数据是否符合预期，从而使得协议流动性可以被操控转移到非预期的市场中，进而被攻击者非法赎回获利。安全专家建议开发者在进行设计时，应该谨慎验证协议的每一步操作是否都在预期中，并严格限制市场的资产类型。