漏洞詳解|錨定資產協議 Cork Protocol 1200 萬美元被盜事件解析與資金追蹤

近期,以太鏈上的 Cork Protocol 遭受攻擊,攻擊者通過項目合約的邏輯漏洞(未驗證關鍵參數)獲利 1200 萬美元。本文對本次攻擊事件進行了詳細的分析和資金追蹤。

撰文:Beosin

近期,以太鏈上的 Cork Protocol 遭受攻擊,攻擊者通過項目合約的邏輯漏洞(未驗證關鍵參數)獲利 1200 萬美元。Beosin 安全團隊對本次攻擊事件進行了詳細的分析和資金追蹤,並將結果分享如下:

詳細攻擊步驟

在分析攻擊之前,我們需要了解 Cork Protocol 特殊的業務邏輯。它引入了類似於傳統金融的信用違約互換機制(稱爲 Depeg Swap),將錨定資產(如 stETH)的脫錨風險代幣化,用戶可以就錨定資產的脫錨風險進行對沖或者交易。其中代幣類型有:

  • 贖回資產(Redemption Asset, RA):基礎資產(如 ETH)

  • 錨定資產(Pegged Asset, PA):與基礎資產錨定的資產(如 stETH)

  • Depeg Swaps(DS):類似於看跌期權,對沖價格下跌

  • 覆蓋代幣 (Cover Token, CT) — 類似於看漲期權,未發生脫錨,可賺取收益;發生脫錨,則需要承擔損失

當用戶存入 RA 時,Cork Protocol 會鑄造 DS 和 CT 代幣,用戶可進行交易或贖回以押注或對沖風險。

此次攻擊涉及真實的代幣市場與攻擊者構造的虛假市場:

(1) 攻擊者首先創建了一個虛假市場,此市場的 RA 爲 weETH8DS-2 代幣,PA 爲 wstETH。可以注意到,weETH8DS-2 本來在真實市場中作爲 DS,卻可以在虛假市場中作爲 RA,這本應該通過跨市場的代幣校驗禁止的。

(2) 攻擊者從真實市場中購買 weETH8CT-2。

(3) 攻擊者利用了 CorkHook 函數中 beforeSwap 函數缺乏正確的訪問控制,向 CorkCall 函數發送自定義 Hook 數據,迫使其將自己的 weETH8DS-2 拆分爲 fake_DS 和 fake_CT。之所以能夠做到這一點,是因爲 weETH8DS-2 是虛假市場的 RA,該函數認爲 fake_DS 和 fake_CT 屬於攻擊者。

(4) fake_DS 和 fake_CT 代幣被轉移給了攻擊者後,根據 Cork Protocol 的規則:DS 和 CT 代幣可以兌換成 RA 代幣。攻擊者將收到的 fake_DS 和 fake_CT 代幣通過虛擬市場兌換成了 weETH8DS-2。

(5) 目前攻擊者擁有從步驟 2 中購買的 weETH8CT-2,重新組裝的 weETH8DS-2,而這可以從真實市場兌換成 RA(即 wstETH)。

由此,攻擊者可以將真實市場的 DS 流動性轉移到另一市場(構建的虛假市場)作爲 RA 進行贖回,從而提取真實市場中 RA 的流動性。攻擊者在本次事件中盜取了 3761 wstETH,並將其兌換成價值約 1200 萬美元的 ETH。

漏洞分析

通過以上攻擊流程,我們可以看到整個事件的漏洞利用原因有以下三點:

  • 缺少驗證:沒有檢查用作 RA 的 DS 是否已在其它市場使用。

  • CorkCall 未經適當驗證的可信用戶提供的回調數據。

  • 該協議允許創建無需許可、不受限制的市場。

雖然 Cork Protocol 經歷了多次安全審計和審計競賽,但這個邏輯層面的漏洞還是被忽略了。而如果對代幣可重用性進行更嚴格的檢查、嚴格校驗回調數據,並對市場創建進行更嚴格的控制,這種攻擊就可以避免。

被盜資金追蹤

Beosin Trace 對被盜資金進行追蹤發現:攻擊者地址 0xea6f30e360192bae715599e15e2f765b49e4da98 獲利約 3761 wstETH,隨後通過 Uniswap、1inch 等 DeFi 協議將 wstETH 兌換成 ETH,共計數量爲 4530.6。

目前被盜資金還未進行轉移。Beosin Trace 已將黑客相關地址加入黑地址庫,後續將持續追蹤。

據 Beosin Trace 分析,所有被盜資金仍存放在攻擊者地址

總結

本次攻擊的核心在於 Cork Protocol 的一個核心業務邏輯漏洞,導致攻擊者通過虛假代幣盜取了大量 wstETH。像 Cork Protocol 此類復雜的 DeFi 協議,需要通過多方面、多層次的安全審計,對合約的業務邏輯進行詳盡的測試和審查。此前,Beosin 安全團隊已完成多個 DeFi 協議(如 Surf Protocol、SyncSwap、LeverFi、Owlto Finance)的安全審計,專注於發現合約邏輯缺陷和可能被忽略的極端情況,確保協議經過全方位的檢測。

查看原文
本頁面內容僅供參考,非招攬或要約,也不提供投資、稅務或法律諮詢。詳見聲明了解更多風險披露。
  • 讚賞
  • 留言
  • 分享
留言
0/400
暫無留言
交易,隨時隨地
qrCode
掃碼下載 Gate APP
社群列表
繁體中文
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)