Cork Protocol подвергся хакерской атаке, потери составили более 12 миллионов долларов
28 мая проект DeFi под названием Cork Protocol стал жертвой Хакера, что привело к убыткам более 12 миллионов долларов. Проект направлен на предоставление функций, аналогичных кредитным дефолтным свопам в традиционных финансах (CDS), в основном для хеджирования рисков отвязки активов, таких как стабильные монеты, ликвидные стейкинг-токены и реальные активы.
После атаки официальные представители Cork Protocol немедленно выпустили заявление, в котором говорится, что на рынке wstETH:weETH произошло событие безопасности. Чтобы предотвратить дальнейшие риски, все остальные рыночные сделки приостановлены. Команда проекта активно расследует причины инцидента и обещает постоянно обновлять информацию о ходе расследования.
Безопасная команда провела глубокий анализ этой атаки и обнаружила, что коренные причины атаки заключаются в двух аспектах:
Cork позволяет пользователям создавать активы для выкупа с использованием любого актива через контракт CorkConfig (RA), что позволяет хакерам использовать DS (развязанное свопирование) в качестве RA.
Любой пользователь может без авторизации вызывать функцию beforeSwap контракта CorkHook и передавать пользовательские данные hook для выполнения операции CorkCall. Это позволяет злоумышленникам манипулировать законным DS на одном рынке, внося его в другой рынок для использования в качестве RA, и получать соответствующие DS и CT (замещающие токены).
Злоумышленники использовали эти уязвимости, чтобы создать новый рынок и, с помощью хитрых операций, перенаправили ликвидность DS легального рынка в новый рынок для выкупа в качестве RA, тем самым похитив значительное количество ликвидности.
Согласно анализу в цепочке, адрес атакующего получил прибыль в 3,761.878 wstETH, стоимостью более 12 миллионов долларов США. Затем атакующий обменял wstETH на 4,527 ETH через 8 транзакций. На данный момент около 4,530.5955 ETH все еще находится на адресе атакующего.
Этот инцидент ещё раз подчеркивает важность строгой проверки каждого действия на этапе проектирования и реализации DeFi проектов. Разработчики должны тщательно проверять, соответствуют ли все этапы протокола ожиданиям, и строго ограничивать типы активов на рынке, чтобы предотвратить использование подобных уязвимостей.
Для пользователей это событие напоминает нам о необходимости сохранять высокую бдительность при участии в новых DeFi проектах, обращать внимание на безопасность средств и внимательно следить за состоянием аудита безопасности проектов и отзывами сообщества.
С развитием экосистемы DeFi безопасность будет продолжать оставаться в центре внимания отрасли. Проектные команды, команды безопасности и сообщества пользователей должны совместно работать над постоянным улучшением мер безопасности для создания более здоровой и стабильной децентрализованной финансовой среды.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
24 Лайков
Награда
24
5
Репост
Поделиться
комментарий
0/400
GasWastingMaximalist
· 07-23 21:27
Снова обманули, даже спать не спокойно.
Посмотреть ОригиналОтветить0
ForkMaster
· 07-23 02:19
Начальные контракты не могут избежать уязвимостей, а как же тогда заниматься свиноводством?
Посмотреть ОригиналОтветить0
SchrodingerPrivateKey
· 07-23 02:16
Ещё одна неудачников фабрика обречено
Посмотреть ОригиналОтветить0
JustHereForMemes
· 07-23 02:05
Снова один умер.
Посмотреть ОригиналОтветить0
RektRecovery
· 07-23 02:00
еще один день, еще один Протокол rekt... я на самом деле это предвидел
Протокол Cork подвергся атаке хакера, убытки составили более 12 миллионов долларов.
Cork Protocol подвергся хакерской атаке, потери составили более 12 миллионов долларов
28 мая проект DeFi под названием Cork Protocol стал жертвой Хакера, что привело к убыткам более 12 миллионов долларов. Проект направлен на предоставление функций, аналогичных кредитным дефолтным свопам в традиционных финансах (CDS), в основном для хеджирования рисков отвязки активов, таких как стабильные монеты, ликвидные стейкинг-токены и реальные активы.
После атаки официальные представители Cork Protocol немедленно выпустили заявление, в котором говорится, что на рынке wstETH:weETH произошло событие безопасности. Чтобы предотвратить дальнейшие риски, все остальные рыночные сделки приостановлены. Команда проекта активно расследует причины инцидента и обещает постоянно обновлять информацию о ходе расследования.
Безопасная команда провела глубокий анализ этой атаки и обнаружила, что коренные причины атаки заключаются в двух аспектах:
Cork позволяет пользователям создавать активы для выкупа с использованием любого актива через контракт CorkConfig (RA), что позволяет хакерам использовать DS (развязанное свопирование) в качестве RA.
Любой пользователь может без авторизации вызывать функцию beforeSwap контракта CorkHook и передавать пользовательские данные hook для выполнения операции CorkCall. Это позволяет злоумышленникам манипулировать законным DS на одном рынке, внося его в другой рынок для использования в качестве RA, и получать соответствующие DS и CT (замещающие токены).
Злоумышленники использовали эти уязвимости, чтобы создать новый рынок и, с помощью хитрых операций, перенаправили ликвидность DS легального рынка в новый рынок для выкупа в качестве RA, тем самым похитив значительное количество ликвидности.
Согласно анализу в цепочке, адрес атакующего получил прибыль в 3,761.878 wstETH, стоимостью более 12 миллионов долларов США. Затем атакующий обменял wstETH на 4,527 ETH через 8 транзакций. На данный момент около 4,530.5955 ETH все еще находится на адресе атакующего.
Этот инцидент ещё раз подчеркивает важность строгой проверки каждого действия на этапе проектирования и реализации DeFi проектов. Разработчики должны тщательно проверять, соответствуют ли все этапы протокола ожиданиям, и строго ограничивать типы активов на рынке, чтобы предотвратить использование подобных уязвимостей.
Для пользователей это событие напоминает нам о необходимости сохранять высокую бдительность при участии в новых DeFi проектах, обращать внимание на безопасность средств и внимательно следить за состоянием аудита безопасности проектов и отзывами сообщества.
С развитием экосистемы DeFi безопасность будет продолжать оставаться в центре внимания отрасли. Проектные команды, команды безопасности и сообщества пользователей должны совместно работать над постоянным улучшением мер безопасности для создания более здоровой и стабильной децентрализованной финансовой среды.