Cork Protocol遭受黑客攻擊，損失超千萬美元

5月28日，一家去中心化金融平台遭受了黑客攻擊，導致超過1200萬美元的資金損失。這起事件凸顯了DeFi項目在安全性方面仍然存在漏洞。

事發當天，一家安全公司率先發現了與該平台相關的可疑活動，並發布了安全警告。隨後，該平台官方發布公告稱，其wstETH:weETH市場出現安全事件，爲防止風險擴大，平台已暫停所有其他市場交易。

這家平台旨在爲DeFi生態提供類似傳統金融中信用違約掉期(CDS)的功能，專門用於對沖穩定幣、流動性質押代幣等掛鉤資產的脫錨風險。用戶可以通過交易風險衍生品，將穩定幣或LST/LRT的價格波動風險轉移給市場參與者，從而降低風險並提升資本效率。

經安全專家分析，此次攻擊的根本原因有兩個:

1. 平台允許用戶創建以任意資產作爲贖回資產(RA)的市場，使得攻擊者可以將衍生品代幣DS作爲RA使用。

2. 任意用戶都可以無需授權地調用某個合約的特定函數，並傳入自定義數據進行操作，使得攻擊者可以操控將合法市場中的DS存入另一個市場作爲RA使用，並獲得相應的代幣。

攻擊者首先在合法市場上購買了weETH8CT-2代幣，然後創建了一個新市場，以weETH8DS-2代幣作爲RA，wstETH作爲PA。通過構造特定數據，攻擊者將合法市場中的weETH8DS-2代幣轉入新市場作爲RA，並獲得新市場對應的CT與DS代幣。

最終，攻擊者利用獲得的代幣在新舊兩個市場進行一系列操作，成功竊取了大量wstETH代幣。

據鏈上分析工具顯示，攻擊者獲利3,761.878個wstETH，價值超1200萬美元。隨後，攻擊者通過8筆交易將這些wstETH兌換爲4,527個ETH。目前，約4,530個ETH仍停留在攻擊者地址上。

這起事件再次提醒DeFi項目開發者，在進行協議設計時應該謹慎驗證每一步操作是否符合預期，並嚴格限制市場的資產類型，以防範潛在的安全風險。同時，用戶在參與DeFi項目時也需保持高度警惕，時刻關注項目動態和安全警告。