Протокол Cork подвергся атаке Хакера, убытки составили более 10 миллионов долларов
28 мая инцидент с безопасностью Cork Protocol привлек внимание отрасли. В это время по всемирному координированному времени (UTC) в 11:23 рынок wstETH:weETH Cork Protocol подвергся атаке, в результате чего протокол понес убытки более 12 миллионов долларов.
После происшествия протокол Cork быстро принял меры, приостановив торговлю на всех остальных рынках, чтобы предотвратить дальнейшее расширение рисков. В настоящее время команда активно расследует причины происшествия и обещает регулярно обновлять информацию о ходе событий.
Анализ причин атаки
Коренная причина этой атаки заключается в наличии двух ключевых уязвимостей в Cork Protocol:
Cork позволяет пользователям создавать активы для выкупа через контракт CorkConfig с любыми активами в качестве активов для выкупа (RA), что позволяет злоумышленникам использовать токены DS (Depeg Swap) в качестве RA.
Любой пользователь может вызывать функцию beforeSwap контракта CorkHook без авторизации и передавать пользовательские данные hook для операции CorkCall. Это позволяет злоумышленникам манипулировать токенами DS на легитимном рынке, вносить их на другой рынок для использования в качестве RA и получать соответствующие токены DS и CT (Cover Token).
Процесс атаки
Основные шаги действий атакующего следующие:
Используйте wstETH для покупки токена weETH8CT-2 на законном рынке.
Создайте новый рынок, используя настраиваемого поставщика обменного курса, установите токен weETH8DS-2 как RA, а wstETH как PA (Pegged Asset).
Добавление ликвидности на новые рынки для инициализации соответствующего пула ликвидности в Uniswap v4.
Используя механизм разблокировки Uniswap V4 Pool Manager, вызовите функцию beforeSwap CorkHook и передайте пользовательские данные о рынке и hook.
Построив данные hook, переведите токены weETH8DS-2 из легального рынка на новый рынок в качестве RA и получите соответствующие токены CT и DS на новом рынке.
Используйте полученные токены CT и DS для выкупа токенов RA на новом рынке (то есть токенов weETH8DS-2).
Соедините токен weETH8DS-2 с ранее приобретенным токеном weETH8CT-2 и обменяйте его на токены wstETH на существующем рынке.
Направление денежных потоков
Согласно анализу инструмента по борьбе с отмыванием денег и отслеживанию MistTrack, адрес злоумышленника получил прибыль в размере 3,761.878 wstETH, что превышает 12 миллионов долларов США. Затем злоумышленник обменял wstETH на 4,527 ETH через 8 сделок.
Начальный капитал атакующего поступил из определенной торговой платформы и составил 4.861 ETH. На данный момент на адресе атакующего находится 4,530.5955 ETH.
Советы по безопасности
Чтобы предотвратить повторение подобных событий, разработчики должны при проектировании протокола:
Осторожно проверяйте, находятся ли все действия протокола в ожидаемых пределах.
Строгое ограничение типов активов на рынке.
Укрепить проверку данных, передаваемых пользователями, чтобы гарантировать соответствие ожиданиям.
Повышение контроля доступа к ключевым операциям.
Это событие еще раз напоминает нам, что в области DeFi безопасность всегда является первоочередной задачей. Разработчики протоколов должны постоянно совершенствовать меры безопасности, а пользователи также должны проявлять бдительность и заботиться о безопасности своих активов.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
12 Лайков
Награда
12
7
Поделиться
комментарий
0/400
staking_gramps
· 2ч назад
Еще одна крупная сделка, действительно каждый день вырывают персики.
Посмотреть ОригиналОтветить0
liquidation_surfer
· 2ч назад
Бык, еще одна возможность для Клиповые купоны
Посмотреть ОригиналОтветить0
TokenGuru
· 2ч назад
Еще один неудачник обречен, как дела у стоящих на посту старших братьев?
Посмотреть ОригиналОтветить0
CryptoCross-TalkClub
· 2ч назад
Еще один громкий провал, неудачники сегодня даже не знают, удалось ли им укрыться от этого большого скандала.
Посмотреть ОригиналОтветить0
AirdropGrandpa
· 2ч назад
Этот месяц снова разыгрывайте людей как лохов
Посмотреть ОригиналОтветить0
CryptoPhoenix
· 2ч назад
Пусть будет убыток, в любом случае мы пережили бесчисленные перерождения[苦笑]
Протокол Cork подвергся атаке, в результате чего был потерян 12 миллионов долларов; рынок wstETH стал целью хакеров.
Протокол Cork подвергся атаке Хакера, убытки составили более 10 миллионов долларов
28 мая инцидент с безопасностью Cork Protocol привлек внимание отрасли. В это время по всемирному координированному времени (UTC) в 11:23 рынок wstETH:weETH Cork Protocol подвергся атаке, в результате чего протокол понес убытки более 12 миллионов долларов.
После происшествия протокол Cork быстро принял меры, приостановив торговлю на всех остальных рынках, чтобы предотвратить дальнейшее расширение рисков. В настоящее время команда активно расследует причины происшествия и обещает регулярно обновлять информацию о ходе событий.
Анализ причин атаки
Коренная причина этой атаки заключается в наличии двух ключевых уязвимостей в Cork Protocol:
Cork позволяет пользователям создавать активы для выкупа через контракт CorkConfig с любыми активами в качестве активов для выкупа (RA), что позволяет злоумышленникам использовать токены DS (Depeg Swap) в качестве RA.
Любой пользователь может вызывать функцию beforeSwap контракта CorkHook без авторизации и передавать пользовательские данные hook для операции CorkCall. Это позволяет злоумышленникам манипулировать токенами DS на легитимном рынке, вносить их на другой рынок для использования в качестве RA и получать соответствующие токены DS и CT (Cover Token).
Процесс атаки
Основные шаги действий атакующего следующие:
Используйте wstETH для покупки токена weETH8CT-2 на законном рынке.
Создайте новый рынок, используя настраиваемого поставщика обменного курса, установите токен weETH8DS-2 как RA, а wstETH как PA (Pegged Asset).
Добавление ликвидности на новые рынки для инициализации соответствующего пула ликвидности в Uniswap v4.
Используя механизм разблокировки Uniswap V4 Pool Manager, вызовите функцию beforeSwap CorkHook и передайте пользовательские данные о рынке и hook.
Построив данные hook, переведите токены weETH8DS-2 из легального рынка на новый рынок в качестве RA и получите соответствующие токены CT и DS на новом рынке.
Используйте полученные токены CT и DS для выкупа токенов RA на новом рынке (то есть токенов weETH8DS-2).
Соедините токен weETH8DS-2 с ранее приобретенным токеном weETH8CT-2 и обменяйте его на токены wstETH на существующем рынке.
Направление денежных потоков
Согласно анализу инструмента по борьбе с отмыванием денег и отслеживанию MistTrack, адрес злоумышленника получил прибыль в размере 3,761.878 wstETH, что превышает 12 миллионов долларов США. Затем злоумышленник обменял wstETH на 4,527 ETH через 8 сделок.
Начальный капитал атакующего поступил из определенной торговой платформы и составил 4.861 ETH. На данный момент на адресе атакующего находится 4,530.5955 ETH.
Советы по безопасности
Чтобы предотвратить повторение подобных событий, разработчики должны при проектировании протокола:
Это событие еще раз напоминает нам, что в области DeFi безопасность всегда является первоочередной задачей. Разработчики протоколов должны постоянно совершенствовать меры безопасности, а пользователи также должны проявлять бдительность и заботиться о безопасности своих активов.