Cork Protocol被黑事件分析：損失超千萬美元

5月28日，有安全機構檢測到與Cork Protocol相關的潛在可疑活動並發布安全提醒，建議用戶提高警惕，注意帳戶與資金安全。

隨後，Cork Protocol發布公告表示："今日UTC時間11:23，wstETH:weETH市場發生安全事件。爲防止風險擴大，Cork已暫停所有其他市場交易，目前暫無其他市場受影響。團隊正在積極調查事件原因，並將持續更新相關進展。"

事件發生後，安全團隊立即介入分析，以下是對攻擊手法及資金轉移路徑的詳細解析。

前置知識

Cork Protocol是一個爲DeFi生態提供類似傳統金融中信用違約掉期(CDS)功能的工具 - Depeg掉期，專門用於對沖穩定幣、流動性質押代幣、RWA等掛鉤資產的脫錨風險。其核心機制圍繞穩定幣和流動性質押代幣的脫錨風險展開，允許用戶通過交易風險衍生品，將穩定幣或LST/LRT的價格波動風險轉移給市場參與者，從而降低風險並提升資本效率，關鍵概念如下：

• RA（Redemption Asset | 贖回資產）：Cork市場中用於贖回或結算脫錨事件的基準資產。
• PA（Pegged Asset | 掛鉤資產）：存在脫錨風險的資產，目標是與RA保持價格掛鉤。
• DS（Depeg Swap | 脫錨掉期）：Cork協議發行的核心衍生工具，用於對沖脫錨風險。
• CT（Cover Token | 覆蓋代幣）：與DS配對的衍生工具，用於承擔脫錨風險並賺取收益。
• Exchange Rate：衡量PA與RA之間價值關係的核心參數。
• Cork Vault：自動化管理跨期限的流動性，提升資本效率。
• Peg Stability Module (PSM)：負責鑄造/銷毀DS和CT，設定市場期限，並通過AMM動態調整價格。

根本原因

此次攻擊的根本原因在於Cork允許用戶通過CorkConfig合約創建以任意資產作爲贖回資產(RA)，使得攻擊者可以將DS作爲RA使用。同時，任意用戶都可以無需授權地調用CorkHook合約的beforeSwap函數，並允許用戶傳入自定的hook數據進行CorkCall操作，使得攻擊者可以操控，將合法市場中的DS存入另一個市場中作爲RA使用，並獲得對應的DS和CT代幣。

攻擊分析

1. 攻擊者首先在合法市場上用wstETH購買了weETH8CT-2代幣，以便最後可以與DS代幣組合贖回作爲RA的wstETH代幣。

2. 攻擊者創建了一個新的市場並使用了自定的Exchange Rate提供商，此市場以weETH8DS-2代幣作爲RA，wstETH作爲PA進行創建。

3. 創建完新市場後，攻擊者通過向市場添加一定的流動性以使得協議可以在Uniswap v4中初始化對應的流動性池。

4. 攻擊者通過Uniswap V4 Pool Manager在解鎖時的unlockCallback功能，調用CorkHook的beforeSwap函數並傳入其自定的市場以及hook數據。

5. beforeSwap將回調合法市場的CorkCall函數，執行指定的hook數據。CorkCall信任由上層合法CorkHook傳入的數據並直接進行解析執行。

6. 攻擊者通過構造hook數據，將合法市場中指定數量的weETH8DS-2代幣轉入由其創建的新市場中作爲RA，並獲得新市場對應的CT與DS代幣。

7. 攻擊者使用獲得的CT與DS代幣在新市場贖回RA代幣，即weETH8DS-2代幣。

8. 最後，攻擊者將獲得的weETH8DS-2代幣與先前購買的weETH8CT-2代幣匹配，在原有的市場贖回wstETH代幣。

資金流向分析

據鏈上分析，攻擊者地址獲利3,761.878 wstETH，價值超1,200萬美元。隨後，攻擊者通過8筆交易將wstETH兌換爲4,527 ETH。攻擊者的初始資金來自某交易平台轉入的4.861 ETH。

截至目前，共有4,530.5955 ETH停留在攻擊者地址上，相關機構將持續對資金進行監控。

總結

此次攻擊的根本原因在於未嚴格驗證用戶傳入的數據是否符合預期，從而使得協議流動性可以被操控轉移到非預期的市場中，進而被攻擊者非法贖回獲利。建議開發者在進行設計時，應該謹慎驗證協議的每一步操作是否都在預期中，並嚴格限制市場的資產類型。