Cork Protocol被黑事件分析：损失超千万美元

5月28日，有安全机构检测到与Cork Protocol相关的潜在可疑活动并发布安全提醒，建议用户提高警惕，注意账户与资金安全。

随后，Cork Protocol发布公告表示："今日UTC时间11:23，wstETH:weETH市场发生安全事件。为防止风险扩大，Cork已暂停所有其他市场交易，目前暂无其他市场受影响。团队正在积极调查事件原因，并将持续更新相关进展。"

事件发生后，安全团队立即介入分析，以下是对攻击手法及资金转移路径的详细解析。

前置知识

Cork Protocol是一个为DeFi生态提供类似传统金融中信用违约掉期(CDS)功能的工具 - Depeg掉期，专门用于对冲稳定币、流动性质押代币、RWA等挂钩资产的脱锚风险。其核心机制围绕稳定币和流动性质押代币的脱锚风险展开，允许用户通过交易风险衍生品，将稳定币或LST/LRT的价格波动风险转移给市场参与者，从而降低风险并提升资本效率，关键概念如下：

• RA（Redemption Asset | 赎回资产）：Cork市场中用于赎回或结算脱锚事件的基准资产。
• PA（Pegged Asset | 挂钩资产）：存在脱锚风险的资产，目标是与RA保持价格挂钩。
• DS（Depeg Swap | 脱锚掉期）：Cork协议发行的核心衍生工具，用于对冲脱锚风险。
• CT（Cover Token | 覆盖代币）：与DS配对的衍生工具，用于承担脱锚风险并赚取收益。
• Exchange Rate：衡量PA与RA之间价值关系的核心参数。
• Cork Vault：自动化管理跨期限的流动性，提升资本效率。
• Peg Stability Module (PSM)：负责铸造/销毁DS和CT，设定市场期限，并通过AMM动态调整价格。

根本原因

此次攻击的根本原因在于Cork允许用户通过CorkConfig合约创建以任意资产作为赎回资产(RA)，使得攻击者可以将DS作为RA使用。同时，任意用户都可以无需授权地调用CorkHook合约的beforeSwap函数，并允许用户传入自定的hook数据进行CorkCall操作，使得攻击者可以操控，将合法市场中的DS存入另一个市场中作为RA使用，并获得对应的DS和CT代币。

攻击分析

1. 攻击者首先在合法市场上用wstETH购买了weETH8CT-2代币，以便最后可以与DS代币组合赎回作为RA的wstETH代币。

2. 攻击者创建了一个新的市场并使用了自定的Exchange Rate提供商，此市场以weETH8DS-2代币作为RA，wstETH作为PA进行创建。

3. 创建完新市场后，攻击者通过向市场添加一定的流动性以使得协议可以在Uniswap v4中初始化对应的流动性池。

4. 攻击者通过Uniswap V4 Pool Manager在解锁时的unlockCallback功能，调用CorkHook的beforeSwap函数并传入其自定的市场以及hook数据。

5. beforeSwap将回调合法市场的CorkCall函数，执行指定的hook数据。CorkCall信任由上层合法CorkHook传入的数据并直接进行解析执行。

6. 攻击者通过构造hook数据，将合法市场中指定数量的weETH8DS-2代币转入由其创建的新市场中作为RA，并获得新市场对应的CT与DS代币。

7. 攻击者使用获得的CT与DS代币在新市场赎回RA代币，即weETH8DS-2代币。

8. 最后，攻击者将获得的weETH8DS-2代币与先前购买的weETH8CT-2代币匹配，在原有的市场赎回wstETH代币。

资金流向分析

据链上分析，攻击者地址获利3,761.878 wstETH，价值超1,200万美元。随后，攻击者通过8笔交易将wstETH兑换为4,527 ETH。攻击者的初始资金来自某交易平台转入的4.861 ETH。

截至目前，共有4,530.5955 ETH停留在攻击者地址上，相关机构将持续对资金进行监控。

总结

此次攻击的根本原因在于未严格验证用户传入的数据是否符合预期，从而使得协议流动性可以被操控转移到非预期的市场中，进而被攻击者非法赎回获利。建议开发者在进行设计时，应该谨慎验证协议的每一步操作是否都在预期中，并严格限制市场的资产类型。