🔥 Gate 動態大使專屬發帖福利任務第三期報名正式開啓!🏆 第二期獲獎名單將於6月3日公布!
👉️ 6月3日 — 6月8日期間每日發帖,根據帖子內容評級瓜分 $300獎池
報名即可參與:https://www.gate.com/zh/questionnaire/6761
報名時間:6月3日10:00 - 6月8日 24:00 UTC+8
🎁 獎勵詳情:
一、S級周度排名獎
S級:每週7日均完成發帖且整體帖子內容質量分數>90分可獲S級,挑選2名優質內容大使每人$50手續費返現券。
二、A/B 等級瓜分獎
根據各位動態大使發帖數量及帖子內容質量獲評等級,按評定等級獲獎:
A級:每週至少5日完成發帖且整體帖子內容質量90>分數>80可獲A級,從A級用戶中選出5名大使每人$20手續費返現券
B級:每週至少3日完成發帖且整體帖子內容質量80>分數>60可獲B級,從B級用戶中選出10名大使每人$10手續費返現券
📍 活動規則:
1.每週至少3日完成發帖才有機會獲獎。
2.根據發帖天數和整體發帖內容質量分數給予等級判定,分爲S/A/B等級,在各等級下選擇幸運大使獲獎。
💡 帖子評分標準:
1.每帖不少於30字。
2.內容需原創、有獨立見解,具備深度和邏輯性。
3.鼓勵發布市場行情、交易知識、幣種研究等主題,使用圖例或視頻可提高評分。
4.禁止發布FUD、抄襲或詆毀內容,違規將取
漏洞詳解|錨定資產協議 Cork Protocol 1200 萬美元被盜事件解析與資金追蹤
撰文:Beosin
近期,以太鏈上的 Cork Protocol 遭受攻擊,攻擊者通過項目合約的邏輯漏洞(未驗證關鍵參數)獲利 1200 萬美元。Beosin 安全團隊對本次攻擊事件進行了詳細的分析和資金追蹤,並將結果分享如下:
詳細攻擊步驟
在分析攻擊之前,我們需要了解 Cork Protocol 特殊的業務邏輯。它引入了類似於傳統金融的信用違約互換機制(稱爲 Depeg Swap),將錨定資產(如 stETH)的脫錨風險代幣化,用戶可以就錨定資產的脫錨風險進行對沖或者交易。其中代幣類型有:
贖回資產(Redemption Asset, RA):基礎資產(如 ETH)
錨定資產(Pegged Asset, PA):與基礎資產錨定的資產(如 stETH)
Depeg Swaps(DS):類似於看跌期權,對沖價格下跌
覆蓋代幣 (Cover Token, CT) — 類似於看漲期權,未發生脫錨,可賺取收益;發生脫錨,則需要承擔損失
當用戶存入 RA 時,Cork Protocol 會鑄造 DS 和 CT 代幣,用戶可進行交易或贖回以押注或對沖風險。
此次攻擊涉及真實的代幣市場與攻擊者構造的虛假市場:
(1) 攻擊者首先創建了一個虛假市場,此市場的 RA 爲 weETH8DS-2 代幣,PA 爲 wstETH。可以注意到,weETH8DS-2 本來在真實市場中作爲 DS,卻可以在虛假市場中作爲 RA,這本應該通過跨市場的代幣校驗禁止的。
(2) 攻擊者從真實市場中購買 weETH8CT-2。
(3) 攻擊者利用了 CorkHook 函數中 beforeSwap 函數缺乏正確的訪問控制,向 CorkCall 函數發送自定義 Hook 數據,迫使其將自己的 weETH8DS-2 拆分爲 fake_DS 和 fake_CT。之所以能夠做到這一點,是因爲 weETH8DS-2 是虛假市場的 RA,該函數認爲 fake_DS 和 fake_CT 屬於攻擊者。
(4) fake_DS 和 fake_CT 代幣被轉移給了攻擊者後,根據 Cork Protocol 的規則:DS 和 CT 代幣可以兌換成 RA 代幣。攻擊者將收到的 fake_DS 和 fake_CT 代幣通過虛擬市場兌換成了 weETH8DS-2。
(5) 目前攻擊者擁有從步驟 2 中購買的 weETH8CT-2,重新組裝的 weETH8DS-2,而這可以從真實市場兌換成 RA(即 wstETH)。
由此,攻擊者可以將真實市場的 DS 流動性轉移到另一市場(構建的虛假市場)作爲 RA 進行贖回,從而提取真實市場中 RA 的流動性。攻擊者在本次事件中盜取了 3761 wstETH,並將其兌換成價值約 1200 萬美元的 ETH。
漏洞分析
通過以上攻擊流程,我們可以看到整個事件的漏洞利用原因有以下三點:
缺少驗證:沒有檢查用作 RA 的 DS 是否已在其它市場使用。
CorkCall 未經適當驗證的可信用戶提供的回調數據。
該協議允許創建無需許可、不受限制的市場。
雖然 Cork Protocol 經歷了多次安全審計和審計競賽,但這個邏輯層面的漏洞還是被忽略了。而如果對代幣可重用性進行更嚴格的檢查、嚴格校驗回調數據,並對市場創建進行更嚴格的控制,這種攻擊就可以避免。
被盜資金追蹤
Beosin Trace 對被盜資金進行追蹤發現:攻擊者地址 0xea6f30e360192bae715599e15e2f765b49e4da98 獲利約 3761 wstETH,隨後通過 Uniswap、1inch 等 DeFi 協議將 wstETH 兌換成 ETH,共計數量爲 4530.6。
目前被盜資金還未進行轉移。Beosin Trace 已將黑客相關地址加入黑地址庫,後續將持續追蹤。
據 Beosin Trace 分析,所有被盜資金仍存放在攻擊者地址
總結
本次攻擊的核心在於 Cork Protocol 的一個核心業務邏輯漏洞,導致攻擊者通過虛假代幣盜取了大量 wstETH。像 Cork Protocol 此類復雜的 DeFi 協議,需要通過多方面、多層次的安全審計,對合約的業務邏輯進行詳盡的測試和審查。此前,Beosin 安全團隊已完成多個 DeFi 協議(如 Surf Protocol、SyncSwap、LeverFi、Owlto Finance)的安全審計,專注於發現合約邏輯缺陷和可能被忽略的極端情況,確保協議經過全方位的檢測。