漏洞詳解｜錨定資產協議 Cork Protocol 1200 萬美元被盜事件解析與資金追蹤

近期，以太鏈上的 Cork Protocol 遭受攻擊，攻擊者通過項目合約的邏輯漏洞（未驗證關鍵參數）獲利 1200 萬美元。本文對本次攻擊事件進行了詳細的分析和資金追蹤。

撰文：Beosin

近期，以太鏈上的 Cork Protocol 遭受攻擊，攻擊者通過項目合約的邏輯漏洞（未驗證關鍵參數）獲利 1200 萬美元。Beosin 安全團隊對本次攻擊事件進行了詳細的分析和資金追蹤，並將結果分享如下：

詳細攻擊步驟

在分析攻擊之前，我們需要了解 Cork Protocol 特殊的業務邏輯。它引入了類似於傳統金融的信用違約互換機制（稱爲 Depeg Swap），將錨定資產（如 stETH）的脫錨風險代幣化，用戶可以就錨定資產的脫錨風險進行對沖或者交易。其中代幣類型有：

• 贖回資產（Redemption Asset, RA）：基礎資產（如 ETH）

• 錨定資產（Pegged Asset, PA）：與基礎資產錨定的資產（如 stETH）

• Depeg Swaps（DS）：類似於看跌期權，對沖價格下跌

• 覆蓋代幣 (Cover Token, CT) — 類似於看漲期權，未發生脫錨，可賺取收益；發生脫錨，則需要承擔損失

當用戶存入 RA 時，Cork Protocol 會鑄造 DS 和 CT 代幣，用戶可進行交易或贖回以押注或對沖風險。

此次攻擊涉及真實的代幣市場與攻擊者構造的虛假市場：

(1) 攻擊者首先創建了一個虛假市場，此市場的 RA 爲 weETH8DS-2 代幣，PA 爲 wstETH。可以注意到，weETH8DS-2 本來在真實市場中作爲 DS，卻可以在虛假市場中作爲 RA，這本應該通過跨市場的代幣校驗禁止的。

(2) 攻擊者從真實市場中購買 weETH8CT-2。

(3) 攻擊者利用了 CorkHook 函數中 beforeSwap 函數缺乏正確的訪問控制，向 CorkCall 函數發送自定義 Hook 數據，迫使其將自己的 weETH8DS-2 拆分爲 fake_DS 和 fake_CT。之所以能夠做到這一點，是因爲 weETH8DS-2 是虛假市場的 RA，該函數認爲 fake_DS 和 fake_CT 屬於攻擊者。

(4) fake_DS 和 fake_CT 代幣被轉移給了攻擊者後，根據 Cork Protocol 的規則：DS 和 CT 代幣可以兌換成 RA 代幣。攻擊者將收到的 fake_DS 和 fake_CT 代幣通過虛擬市場兌換成了 weETH8DS-2。

(5) 目前攻擊者擁有從步驟 2 中購買的 weETH8CT-2，重新組裝的 weETH8DS-2，而這可以從真實市場兌換成 RA（即 wstETH）。

由此，攻擊者可以將真實市場的 DS 流動性轉移到另一市場（構建的虛假市場）作爲 RA 進行贖回，從而提取真實市場中 RA 的流動性。攻擊者在本次事件中盜取了 3761 wstETH，並將其兌換成價值約 1200 萬美元的 ETH。

漏洞分析

通過以上攻擊流程，我們可以看到整個事件的漏洞利用原因有以下三點：

• 缺少驗證：沒有檢查用作 RA 的 DS 是否已在其它市場使用。

• CorkCall 未經適當驗證的可信用戶提供的回調數據。

• 該協議允許創建無需許可、不受限制的市場。

雖然 Cork Protocol 經歷了多次安全審計和審計競賽，但這個邏輯層面的漏洞還是被忽略了。而如果對代幣可重用性進行更嚴格的檢查、嚴格校驗回調數據，並對市場創建進行更嚴格的控制，這種攻擊就可以避免。

被盜資金追蹤

Beosin Trace 對被盜資金進行追蹤發現：攻擊者地址 0xea6f30e360192bae715599e15e2f765b49e4da98 獲利約 3761 wstETH，隨後通過 Uniswap、1inch 等 DeFi 協議將 wstETH 兌換成 ETH，共計數量爲 4530.6。

目前被盜資金還未進行轉移。Beosin Trace 已將黑客相關地址加入黑地址庫，後續將持續追蹤。

據 Beosin Trace 分析，所有被盜資金仍存放在攻擊者地址

總結

本次攻擊的核心在於 Cork Protocol 的一個核心業務邏輯漏洞，導致攻擊者通過虛假代幣盜取了大量 wstETH。像 Cork Protocol 此類復雜的 DeFi 協議，需要通過多方面、多層次的安全審計，對合約的業務邏輯進行詳盡的測試和審查。此前，Beosin 安全團隊已完成多個 DeFi 協議（如 Surf Protocol、SyncSwap、LeverFi、Owlto Finance）的安全審計，專注於發現合約邏輯缺陷和可能被忽略的極端情況，確保協議經過全方位的檢測。