Cork Protocol зазнав атаки хакера, втрати перевищують 12 мільйонів доларів
28 травня проект DeFi під назвою Cork Protocol зазнав хакерської атаки, внаслідок якої було завдано збитків на понад 12 мільйонів доларів. Проект має на меті забезпечити функціонал, подібний до кредитних дефолтних свопів у традиційних фінансах (CDS), в основному для хеджування ризиків девальвації активів, прив'язаних до стейблкоїнів, ліквідних заставних токенів та фізичних активів.
Після нападу офіційний Cork Protocol негайно опублікував оголошення, в якому зазначив, що на ринку wstETH:weETH сталася безпекова подія, і для запобігання розширенню ризиків було призупинено всі інші торгові операції на ринку. Команда проекту активно розслідує причини події і обіцяє постійно оновлювати відповідну інформацію.
Команда безпеки провела глибокий аналіз цієї атаки і виявила, що основні причини атаки полягають у двох аспектах:
Cork дозволяє користувачам створювати активи для викупу через контракт CorkConfig, використовуючи будь-який актив як викупний актив (RA), що дозволяє зловмисникам використовувати DS (дефляційний своп) як RA.
Будь-який користувач може без авторизації викликати функцію beforeSwap контракту CorkHook, дозволяючи передавати користувацькі дані hook для виконання операції CorkCall. Це дозволяє зловмисникам маніпулювати внесенням легальних DS на інший ринок для використання як RA, отримуючи відповідні DS та CT (покривні токени).
Зловмисники використали ці вразливості, щоб створити новий ринок, і шляхом хитрих маніпуляцій перевели ліквідність DS з легітимного ринку на новий ринок для викупу як RA, заволодівши великою кількістю ліквідності.
Згідно з аналізом в ланцюгу, адреса зловмисника отримала 3,761.878 wstETH, що перевищує 12 мільйонів доларів США. Потім зловмисник через 8 транзакцій обміняв wstETH на 4,527 ETH. Станом на зараз, приблизно 4,530.5955 ETH все ще залишаються на адресі зловмисника.
Ця подія ще раз підкреслила важливість суворої перевірки кожного етапу операцій під час розробки та реалізації DeFi проєктів. Розробники повинні обережно перевіряти, чи відповідають усі етапи протоколу очікуванням, і суворо обмежувати типи активів на ринку, щоб запобігти використанню подібних вразливостей у безпеці.
Для користувачів ця подія нагадує нам про необхідність бути дуже обережними при участі в нових DeFi проектах, звертати увагу на безпеку коштів та уважно стежити за результатами безпекових аудитів проекту та відгуками спільноти.
З розвитком екосистеми DeFi безпека продовжуватиме бути в центрі уваги галузі. Проектні команди, команди безпеки та спільнота користувачів повинні спільно працювати над постійним вдосконаленням заходів безпеки для створення більш здорового та стабільного середовища децентралізованих фінансів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
24 лайків
Нагородити
24
5
Репост
Поділіться
Прокоментувати
0/400
GasWastingMaximalist
· 07-23 21:27
Знову потрапив під удар, навіть спати не можу спокійно.
Переглянути оригіналвідповісти на0
ForkMaster
· 07-23 02:19
Початкові контракти не можуть уникнути вразливостей, а ще й свиней вирощувати?
Переглянути оригіналвідповісти на0
SchrodingerPrivateKey
· 07-23 02:16
Ще одна невдаха фабрика приречена
Переглянути оригіналвідповісти на0
JustHereForMemes
· 07-23 02:05
Знову хтось помер
Переглянути оригіналвідповісти на0
RektRecovery
· 07-23 02:00
інший день, інший протокол rekt... побачив це, чесно кажучи
Протокол Cork зазнав атаки хакера, збитки перевищили 12 мільйонів доларів
Cork Protocol зазнав атаки хакера, втрати перевищують 12 мільйонів доларів
28 травня проект DeFi під назвою Cork Protocol зазнав хакерської атаки, внаслідок якої було завдано збитків на понад 12 мільйонів доларів. Проект має на меті забезпечити функціонал, подібний до кредитних дефолтних свопів у традиційних фінансах (CDS), в основному для хеджування ризиків девальвації активів, прив'язаних до стейблкоїнів, ліквідних заставних токенів та фізичних активів.
Після нападу офіційний Cork Protocol негайно опублікував оголошення, в якому зазначив, що на ринку wstETH:weETH сталася безпекова подія, і для запобігання розширенню ризиків було призупинено всі інші торгові операції на ринку. Команда проекту активно розслідує причини події і обіцяє постійно оновлювати відповідну інформацію.
Команда безпеки провела глибокий аналіз цієї атаки і виявила, що основні причини атаки полягають у двох аспектах:
Cork дозволяє користувачам створювати активи для викупу через контракт CorkConfig, використовуючи будь-який актив як викупний актив (RA), що дозволяє зловмисникам використовувати DS (дефляційний своп) як RA.
Будь-який користувач може без авторизації викликати функцію beforeSwap контракту CorkHook, дозволяючи передавати користувацькі дані hook для виконання операції CorkCall. Це дозволяє зловмисникам маніпулювати внесенням легальних DS на інший ринок для використання як RA, отримуючи відповідні DS та CT (покривні токени).
Зловмисники використали ці вразливості, щоб створити новий ринок, і шляхом хитрих маніпуляцій перевели ліквідність DS з легітимного ринку на новий ринок для викупу як RA, заволодівши великою кількістю ліквідності.
Згідно з аналізом в ланцюгу, адреса зловмисника отримала 3,761.878 wstETH, що перевищує 12 мільйонів доларів США. Потім зловмисник через 8 транзакцій обміняв wstETH на 4,527 ETH. Станом на зараз, приблизно 4,530.5955 ETH все ще залишаються на адресі зловмисника.
Ця подія ще раз підкреслила важливість суворої перевірки кожного етапу операцій під час розробки та реалізації DeFi проєктів. Розробники повинні обережно перевіряти, чи відповідають усі етапи протоколу очікуванням, і суворо обмежувати типи активів на ринку, щоб запобігти використанню подібних вразливостей у безпеці.
Для користувачів ця подія нагадує нам про необхідність бути дуже обережними при участі в нових DeFi проектах, звертати увагу на безпеку коштів та уважно стежити за результатами безпекових аудитів проекту та відгуками спільноти.
З розвитком екосистеми DeFi безпека продовжуватиме бути в центрі уваги галузі. Проектні команди, команди безпеки та спільнота користувачів повинні спільно працювати над постійним вдосконаленням заходів безпеки для створення більш здорового та стабільного середовища децентралізованих фінансів.