Recientemente, el protocolo Cork en la cadena de Ether fue atacado, y el atacante obtuvo una ganancia de 12 millones de dólares a través de una vulnerabilidad lógica en el contrato del proyecto (no validación de parámetros clave). Este artículo realiza un análisis detallado del incidente de ataque y el seguimiento de los fondos.
Escrito por: Beosin
Recientemente, el Cork Protocol en la cadena de Ether fue atacado, y el atacante obtuvo una ganancia de 12 millones de dólares a través de una vulnerabilidad lógica en el contrato del proyecto (parámetros clave no verificados). El equipo de seguridad de Beosin realizó un análisis detallado del incidente de ataque y un seguimiento de los fondos, y compartió los resultados a continuación:
Pasos de ataque detallados
Antes de analizar el ataque, necesitamos entender la lógica comercial especial del Cork Protocol. Introduce un mecanismo de intercambio de incumplimiento crediticio similar al de las finanzas tradicionales (llamado Depeg Swap), que tokeniza el riesgo de desanclaje de los activos anclados (como stETH), permitiendo a los usuarios cubrir o comerciar el riesgo de desanclaje de los activos anclados. Los tipos de tokens incluyen:
Activo de redención (Redemption Asset, RA): activo subyacente (como Ether)
Activo anclado (Pegged Asset, PA): activo anclado a un activo subyacente (como stETH)
Depeg Swaps (DS): Similar a las opciones de venta, cubriendo la caída de precios
Token de Cobertura (Cover Token, CT) — Similar a una opción de compra, no se ha producido un despegue, se pueden obtener ganancias; si se produce un despegue, se deben asumir pérdidas.
Cuando los usuarios depositan RA, el Protocolo Cork acuña tokens DS y CT, que los usuarios pueden intercambiar o canjear para apostar o cubrir riesgos.
Este ataque involucra un mercado de tokens real y un mercado falso construido por los atacantes:
(1) atacantes primero crearon un mercado falso donde el RA es el token weETH8DS-2 y el PA es wstETH. Se puede notar que weETH8DS-2 se puede usar como RA en el mercado falso en lugar de como DS en el mercado real, que debería haber sido prohibido por la verificación de tokens entre mercados.
(2) El atacante compró weETH8CT-2 en el mercado real.
(3) atacante aprovechó la falta de control de acceso adecuado de la función beforeSwap en la función CorkHook para enviar datos personalizados de Hook a la función CorkCall, obligándola a dividir su weETH8DS-2 en fake_DS y fake_CT. Esto es posible porque weETH8DS-2 es el RA del mercado falso, y la función considera que fake_DS y fake_CT pertenecen a los atacantes.
Después de (4) tokens falsos_DS y falsos_CT se transfieren a los atacantes, de acuerdo con las reglas de Cork Protocol: los tokens DS y CT se pueden intercambiar por tokens RA. El atacante intercambió los tokens falsos_DS y falsos_CT recibidos por weETH8DS-2 a través del mercado virtual.
(5) Actualmente, el atacante posee weETH8CT-2 adquirido en el paso 2 y weETH8DS-2 reensamblado, el cual se puede canjear en el mercado real por RA (es decir, wstETH).
Como resultado, un atacante puede transferir la liquidez del DS en el mercado real a otro mercado (el mercado falso construido) para su reembolso como RA, extrayendo así la liquidez del RA en el mercado real. En este incidente, los atacantes robaron 3,761 wstETH y los intercambiaron por unos USD 12 millones en ETH.
Análisis de vulnerabilidades
A través del proceso de ataque anterior, podemos ver que las razones de la explotación de la vulnerabilidad en todo el evento son las siguientes tres puntos:
Falta de verificación: no se ha comprobado si el DS utilizado como RA se ha utilizado en otros mercados.
CorkCall datos de retorno proporcionados por usuarios confiables no verificados.
El protocolo permite la creación de mercados sin permisos y sin restricciones.
A pesar de que el Cork Protocol ha pasado por múltiples auditorías de seguridad y competiciones de auditoría, esta vulnerabilidad a nivel lógico ha sido ignorada. Si se realiza una verificación más rigurosa de la reutilización de tokens, se valida estrictamente los datos de retorno y se controla más estrictamente la creación de mercado, este tipo de ataque podría evitarse.
Seguimiento de fondos robados
Beosin Trace ha rastreado los fondos robados y ha descubierto que la dirección del atacante 0xea6f30e360192bae715599e15e2f765b49e4da98 obtuvo una ganancia de aproximadamente 3761 wstETH, que luego fue intercambiada por ETH a través de protocolos DeFi como Uniswap y 1inch, con un total de 4530.6.
Actualmente, los fondos robados aún no han sido transferidos. Beosin Trace ha añadido las direcciones relacionadas con los hackers a la lista negra, y continuará rastreando en el futuro.
Según el análisis de Beosin Trace, todos los fondos robados todavía se encuentran en la dirección del atacante.
Resumen
En el corazón del ataque se encontraba una vulnerabilidad central de la lógica empresarial en Cork Protocol, que llevó al atacante a robar una gran cantidad de wstETH a través de tokens falsos. Los protocolos DeFi complejos, como el Protocolo Cork, requieren pruebas y revisiones detalladas de la lógica empresarial del contrato a través de auditorías de seguridad multifacéticas y de múltiples capas. Anteriormente, el equipo de seguridad de Beosin ha completado auditorías de seguridad de múltiples protocolos DeFi (por ejemplo, Surf Protocol, SyncSwap, LeverFi, Owlto Finance), centrándose en encontrar fallos lógicos de los contratos y casos extremos que pueden pasarse por alto, asegurándose de que el protocolo esté completamente probado.
Ver originales
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
Análisis de vulnerabilidades|Análisis del robo de 12 millones de dólares del protocolo de activos anclados Cork Protocol y seguimiento de fondos
Escrito por: Beosin
Recientemente, el Cork Protocol en la cadena de Ether fue atacado, y el atacante obtuvo una ganancia de 12 millones de dólares a través de una vulnerabilidad lógica en el contrato del proyecto (parámetros clave no verificados). El equipo de seguridad de Beosin realizó un análisis detallado del incidente de ataque y un seguimiento de los fondos, y compartió los resultados a continuación:
Pasos de ataque detallados
Antes de analizar el ataque, necesitamos entender la lógica comercial especial del Cork Protocol. Introduce un mecanismo de intercambio de incumplimiento crediticio similar al de las finanzas tradicionales (llamado Depeg Swap), que tokeniza el riesgo de desanclaje de los activos anclados (como stETH), permitiendo a los usuarios cubrir o comerciar el riesgo de desanclaje de los activos anclados. Los tipos de tokens incluyen:
Activo de redención (Redemption Asset, RA): activo subyacente (como Ether)
Activo anclado (Pegged Asset, PA): activo anclado a un activo subyacente (como stETH)
Depeg Swaps (DS): Similar a las opciones de venta, cubriendo la caída de precios
Token de Cobertura (Cover Token, CT) — Similar a una opción de compra, no se ha producido un despegue, se pueden obtener ganancias; si se produce un despegue, se deben asumir pérdidas.
Cuando los usuarios depositan RA, el Protocolo Cork acuña tokens DS y CT, que los usuarios pueden intercambiar o canjear para apostar o cubrir riesgos.
Este ataque involucra un mercado de tokens real y un mercado falso construido por los atacantes:
(1) atacantes primero crearon un mercado falso donde el RA es el token weETH8DS-2 y el PA es wstETH. Se puede notar que weETH8DS-2 se puede usar como RA en el mercado falso en lugar de como DS en el mercado real, que debería haber sido prohibido por la verificación de tokens entre mercados.
(2) El atacante compró weETH8CT-2 en el mercado real.
(3) atacante aprovechó la falta de control de acceso adecuado de la función beforeSwap en la función CorkHook para enviar datos personalizados de Hook a la función CorkCall, obligándola a dividir su weETH8DS-2 en fake_DS y fake_CT. Esto es posible porque weETH8DS-2 es el RA del mercado falso, y la función considera que fake_DS y fake_CT pertenecen a los atacantes.
Después de (4) tokens falsos_DS y falsos_CT se transfieren a los atacantes, de acuerdo con las reglas de Cork Protocol: los tokens DS y CT se pueden intercambiar por tokens RA. El atacante intercambió los tokens falsos_DS y falsos_CT recibidos por weETH8DS-2 a través del mercado virtual.
(5) Actualmente, el atacante posee weETH8CT-2 adquirido en el paso 2 y weETH8DS-2 reensamblado, el cual se puede canjear en el mercado real por RA (es decir, wstETH).
Como resultado, un atacante puede transferir la liquidez del DS en el mercado real a otro mercado (el mercado falso construido) para su reembolso como RA, extrayendo así la liquidez del RA en el mercado real. En este incidente, los atacantes robaron 3,761 wstETH y los intercambiaron por unos USD 12 millones en ETH.
Análisis de vulnerabilidades
A través del proceso de ataque anterior, podemos ver que las razones de la explotación de la vulnerabilidad en todo el evento son las siguientes tres puntos:
Falta de verificación: no se ha comprobado si el DS utilizado como RA se ha utilizado en otros mercados.
CorkCall datos de retorno proporcionados por usuarios confiables no verificados.
El protocolo permite la creación de mercados sin permisos y sin restricciones.
A pesar de que el Cork Protocol ha pasado por múltiples auditorías de seguridad y competiciones de auditoría, esta vulnerabilidad a nivel lógico ha sido ignorada. Si se realiza una verificación más rigurosa de la reutilización de tokens, se valida estrictamente los datos de retorno y se controla más estrictamente la creación de mercado, este tipo de ataque podría evitarse.
Seguimiento de fondos robados
Beosin Trace ha rastreado los fondos robados y ha descubierto que la dirección del atacante 0xea6f30e360192bae715599e15e2f765b49e4da98 obtuvo una ganancia de aproximadamente 3761 wstETH, que luego fue intercambiada por ETH a través de protocolos DeFi como Uniswap y 1inch, con un total de 4530.6.
Actualmente, los fondos robados aún no han sido transferidos. Beosin Trace ha añadido las direcciones relacionadas con los hackers a la lista negra, y continuará rastreando en el futuro.
Según el análisis de Beosin Trace, todos los fondos robados todavía se encuentran en la dirección del atacante.
Resumen
En el corazón del ataque se encontraba una vulnerabilidad central de la lógica empresarial en Cork Protocol, que llevó al atacante a robar una gran cantidad de wstETH a través de tokens falsos. Los protocolos DeFi complejos, como el Protocolo Cork, requieren pruebas y revisiones detalladas de la lógica empresarial del contrato a través de auditorías de seguridad multifacéticas y de múltiples capas. Anteriormente, el equipo de seguridad de Beosin ha completado auditorías de seguridad de múltiples protocolos DeFi (por ejemplo, Surf Protocol, SyncSwap, LeverFi, Owlto Finance), centrándose en encontrar fallos lógicos de los contratos y casos extremos que pueden pasarse por alto, asegurándose de que el protocolo esté completamente probado.