Cork Protocol зазнав атаки Хакера, збитки перевищують 10 мільйонів доларів

28 травня децентралізована фінансова платформа зазнала хакерської атаки, що призвело до втрати понад 12 мільйонів доларів. Ця подія підкреслює, що проекти DeFi все ще мають вразливості в безпеці.

В день інциденту одна з компаній з безпеки першою виявила підозрілу активність, пов'язану з цією платформою, і випустила попередження про безпеку. Після цього офіційна платформа опублікувала оголошення, що на її ринку wstETH:weETH стався інцидент безпеки, і щоб запобігти розширенню ризиків, платформа призупинила всі інші торгові операції.

Ця платформа має на меті забезпечити функціонал, подібний до кредитних дефолтних свопів (CDS) у традиційному фінансуванні, спеціально призначений для хеджування ризиків відв'язування активів, пов'язаних зі стабільними монетами, ліквідними стейкінг-токенами тощо. Користувачі можуть передавати ризики коливань цін стабільних монет або LST/LRT іншим учасникам ринку через торгівлю похідними фінансовими інструментами, що дозволяє знизити ризики та підвищити ефективність капіталу.

За аналізом безпекових експертів, основними причинами атаки є два:

1. Платформа дозволяє користувачам створювати ринок, де будь-який актив може виступати в ролі активу викупу (RA), що дозволяє зловмисникам використовувати токени деривативів DS як RA.

2. Будь-який користувач може без авторизації викликати певну функцію контракту та передати власні дані для виконання операції, що дозволяє зловмиснику маніпулювати легітимними DS на ринку, щоб внести їх на інший ринок для використання як RA, і отримати відповідні токени.

Атакуючи спочатку придбали токени weETH8CT-2 на законному ринку, а потім створили новий ринок, використовуючи токени weETH8DS-2 як RA, а wstETH як PA. Шляхом конструювання специфічних даних, атакуючи перевели токени weETH8DS-2 з законного ринку на новий ринок як RA та отримали відповідні токени CT та DS нового ринку.

Врешті-решт, зловмисник використав отримані токени для серії операцій на новому та старому ринках, успішно викравши велику кількість wstETH токенів.

Згідно з аналітичними інструментами блокчейну, зловмисник отримав прибуток у 3,761.878 wstETH, вартістю понад 12 мільйонів доларів США. Потім зловмисник через 8 транзакцій обміняв ці wstETH на 4,527 ETH. Наразі приблизно 4,530 ETH все ще перебувають на адресі зловмисника.

Ця подія ще раз нагадує розробникам проектів DeFi, що під час розробки протоколу потрібно обережно перевіряти, чи відповідає кожна операція очікуванням, і суворо обмежувати типи активів на ринку, щоб запобігти потенційним ризикам безпеки. Водночас користувачі, беручи участь у проектах DeFi, також повинні залишатися у високій готовності, завжди стежити за динамікою проекту та попередженнями про безпеку.