Perda de mais de 10 milhões de dólares, análise do incidente de hack do Cork Protocol

Autor: Kong & Lisa

Edição: Liz

fundo

No dia 28 de maio, a SlowMist( detectou atividades suspeitas potenciais relacionadas ao Cork Protocol e emitiu um alerta de segurança, aconselhando os usuários a ficarem atentos e a cuidarem da segurança de suas contas e fundos.

![Perda de mais de dez milhões de dólares, análise do incidente de hack do Cork Protocol])https://img.gateio.im/social/moments-cefaf15fd34fb53304996818fcc8c598(

)(

Pouco depois, o Cork Protocol publicou um aviso dizendo: “Hoje, às 11:23 UTC, ocorreu um incidente de segurança no mercado wstETH:weETH. Para evitar a ampliação do risco, o Cork suspendeu todas as outras negociações de mercado, e atualmente não há outros mercados afetados. A equipe está investigando ativamente a causa do incidente e continuará a atualizar sobre os desenvolvimentos relacionados.”

![Perda superior a dez milhões de dólares, Análise do incidente de hacking do Cork Protocol])https://img.gateio.im/social/moments-b6c961ae39e4375d9e4e908dc9e9d653(

)(

Após o incidente, a equipe de segurança da Slow Fog interveio imediatamente para analisar, e a seguir está uma análise detalhada das técnicas de ataque e das rotas de transferência de fundos.

) Conhecimento prévio

Cork Protocol é uma ferramenta projetada para fornecer funcionalidades semelhantes aos contratos de swap de inadimplência de crédito (CDS) no setor financeiro tradicional ### — swaps de depeg, especificamente para proteger contra riscos de desanexação de ativos vinculados, como stablecoins, tokens de staking líquido e RWA. Seu mecanismo central gira em torno dos riscos de desanexação de stablecoins e tokens de staking líquido, permitindo que os usuários transfiram o risco de volatilidade de preços de stablecoins ou LST/LRT para participantes do mercado através da negociação de derivativos de risco, reduzindo assim o risco e aumentando a eficiência de capital. Os conceitos-chave são os seguintes:

RA (Redemption Asset | Ativo de Redempção): Ativo de referência usado no mercado Cork para resgatar ou liquidar eventos de desanexação (por exemplo, ETH no mercado ETH::stETH).

PA (Pegged Asset | Ativo Vinculado): ativos que apresentam risco de desanexação, com o objetivo de manter o preço vinculado ao RA, mas que podem se desviar da taxa de câmbio ancorada devido a flutuações de mercado, riscos de protocolos e outros fatores (por exemplo, stETH no mercado ETH::stETH).

DS (Depeg Swap | Desanexação): Ferramenta derivativa central emitida pelo protocolo Cork, utilizada para cobrir riscos de desanexação, essencialmente semelhante ao swap de default de crédito tradicional (CDS), os usuários podem comprar esses tokens para evitar riscos de desanexação.

CT (Cover Token | Token de Cobertura): uma ferramenta derivativa emparelhada com DS, usada para assumir o risco de desanexação e gerar rendimento, semelhante ao papel do vendedor em CDS, onde, se ocorrer desanexação, o detentor assumirá a perda.

Taxa de Câmbio: um parâmetro central que mede a relação de valor entre PA e RA, afetando diretamente a determinação de eventos de desancoragem e a lógica de liquidação de transações de derivativos. Atualmente, o protocolo Cork permite que os usuários criem mercados usando um provedor de taxa de câmbio personalizado.

Cork Vault: gestão automatizada de liquidez em vários prazos, aumentando a eficiência do capital.

Módulo de Estabilidade do Peg (PSM): responsável pela cunhagem/destruição de DS e CT, definição do prazo de mercado e ajuste dinâmico de preços através de AMM. Permite aos usuários realizar as seguintes trocas:

PA + DS = RACT + DS = RA

( Causa raiz

A raiz da ataque reside no fato de que, por um lado, o Cork permite que os usuários criem ativos de resgate usando o contrato CorkConfig com qualquer ativo como )RA###, permitindo que os atacantes usem o DS como RA. Por outro lado, qualquer usuário pode chamar a função beforeSwap do contrato CorkHook sem autorização, permitindo que os usuários passem dados de hook personalizados para a operação CorkCall, permitindo que os atacantes manipulem e depositem DS do mercado legítimo em outro mercado como RA, obtendo os correspondentes tokens DS e CT.

( Análise de Ataque

O atacante primeiro comprou o token weETH8CT-2 no mercado legítimo com wstETH, para que no final pudesse combinar com o token DS e resgatar como wstETH para RA.

![Perda de mais de dez milhões de dólares, Análise do incidente de hack do Cork Protocol])https://img.gateio.im/social/moments-e27510a1679fa0354b2809762090afd1###

Em seguida, o atacante criou um novo mercado e utilizou um provedor de Taxa de Câmbio personalizado. Este mercado foi criado com o token weETH8DS-2 como RA e wstETH como PA, portanto, os tokens chave do novo mercado correspondem da seguinte forma:

RA: weETH8DS-2PA: wstETHCT: wstETH5CT-3DS: wstETH5DS-3

Os tokens chave correspondentes ao mercado onde o weETH8DS-2 está localizado são os seguintes:

RA: wstETHPA: weETHCT: weETH8CT-2DS: weETH8DS-2

Após criar um novo mercado, o atacante adiciona uma certa liquidez ao mercado para que o protocolo possa inicializar o respectivo pool de liquidez no Uniswap v4, permitindo que o CorkHook execute o beforeSwap nesse pool posteriormente.

! Perda de mais de 10 milhões de dólares americanos, análise do incidente de hacking do Protocolo de Cork

Em seguida, o mais importante é que, sob as condições desbloqueadas do Uniswap V4 Pool Manager, qualquer usuário pode chamar a função beforeSwap do CorkHook, passando quaisquer parâmetros, para operar a liquidez de mercado do protocolo. Assim, os atacantes, através da funcionalidade unlockCallback do Uniswap V4 Pool Manager no momento do desbloqueio, chamam a função beforeSwap do CorkHook e passam seus próprios dados de mercado e hook.

beforeSwap irá chamar a função CorkCall do mercado legal, executando os dados do hook especificados:

CorkCall confia nos dados fornecidos pela CorkHook superior e os analisa e executa diretamente:

Isto permite que os atacantes, ao criar dados de hook, transfiram um número específico de tokens weETH8DS-2 de um mercado legítimo para um novo mercado que criaram como RA, e obtenham os tokens CT e DS correspondentes ao novo mercado.

De acordo com as características do PSM, um atacante pode usar o CT e o token DS obtidos para resgatar o token RA no novo mercado, ou seja, o token weETH8DS-2.

Após obter o token weETH8DS-2, o atacante pode combiná-lo com o token weETH8CT-2 adquirido anteriormente para resgatar o token wstETH no mercado original.

Até aqui, o atacante explorou a falta de restrições sobre os tipos de ativos resgatáveis no mercado e o fato de que o protocolo não verificou o chamador de CorkHook.beforeSwap e os dados transmitidos, permitindo que transferissem a liquidez legítima do mercado DS para outro mercado como RA para resgatar, a fim de roubar a liquidez de qualquer mercado.

( Análise MistTrack

De acordo com a análise da ferramenta de combate à lavagem de dinheiro e rastreamento em blockchain MistTrack, o endereço do atacante 0xea6f30e360192bae715599e15e2f765b49e4da98 obteve um lucro de 3.761,878 wstETH, no valor de mais de 12 milhões de dólares.

![Perda superior a dez milhões de dólares, análise do incidente de hacking do Cork Protocol])https://img.gateio.im/social/moments-935bc2da494aed41a46614acb3fc5e45###

Em seguida, o atacante através de

8 transações trocaram wstETH por 4,527 ETH:

Além disso, o capital inicial do atacante vem dos 4,861 ETH transferidos de Swapuz.com.

Até agora, há 4,530.5955 ETH retidos no endereço do atacante, continuaremos a monitorar os fundos.

( Resumo

A causa fundamental deste ataque reside na falta de uma verificação rigorosa dos dados enviados pelos usuários para garantir que estes cumpram as expectativas, permitindo assim que a liquidez do protocolo seja manipulada e transferida para mercados não esperados, o que leva os atacantes a resgates ilegais para obter lucro. A equipe de segurança Slow Mist aconselha os desenvolvedores a serem cautelosos ao projetar, verificando se cada operação do protocolo está dentro das expectativas e limitando rigorosamente os tipos de ativos no mercado.