Vào ngày 28 tháng 5, SlowMist( đã phát hiện hoạt động khả nghi tiềm ẩn liên quan đến Cork Protocol và phát hành cảnh báo an ninh, khuyên người dùng nâng cao cảnh giác, chú ý đến an toàn tài khoản và quỹ.
![Thiệt hại hơn 10 triệu USD, phân tích sự kiện Cork Protocol bị hack])https://img.gateio.im/social/moments-cefaf15fd34fb53304996818fcc8c598(
)(
Ngay sau đó, Cork Protocol đã đưa ra một thông báo cho biết: "Một sự cố bảo mật đã xảy ra trên thị trường wstETH:weETH vào lúc 11:23 UTC hôm nay. Để ngăn chặn rủi ro mở rộng, Cork đã tạm dừng giao dịch ở tất cả các thị trường khác và hiện không có thị trường nào khác bị ảnh hưởng. Nhóm đang tích cực điều tra nguyên nhân của sự cố và sẽ tiếp tục cung cấp thông tin cập nhật về những diễn biến. ”
![Thiệt hại hơn 10 triệu USD, Phân tích sự kiện Cork Protocol bị hack])https://img.gateio.im/social/moments-b6c961ae39e4375d9e4e908dc9e9d653(
)(
Sau sự cố, đội ngũ bảo mật SlowMist đã can thiệp vào việc phân tích càng sớm càng tốt, sau đây là phân tích chi tiết về các phương thức tấn công và đường dẫn chuyển tiền.
) Kiến thức nền tảng
Cork Protocol là một công cụ nhằm cung cấp chức năng tương tự như hợp đồng hoán đổi tín dụng (CDS) trong tài chính truyền thống cho hệ sinh thái DeFi, cụ thể là hợp đồng hoán đổi Depeg, được thiết kế để phòng ngừa rủi ro mất giá của các tài sản liên kết như stablecoin, token staking có tính thanh khoản, RWA, v.v. Cơ chế cốt lõi xoay quanh rủi ro mất giá của stablecoin và token staking có tính thanh khoản, cho phép người dùng chuyển giao rủi ro biến động giá của stablecoin hoặc LST/LRT cho các thành viên tham gia thị trường thông qua việc giao dịch các sản phẩm phái sinh rủi ro, từ đó giảm thiểu rủi ro và nâng cao hiệu quả vốn, các khái niệm chính như sau:
RA (Tài sản Đổi | 赎回资产): Tài sản chuẩn được sử dụng trong thị trường Cork để đổi hoặc thanh toán cho các sự kiện mất chốt (ví dụ: ETH trong thị trường ETH::stETH).
PA (Tài sản gắn liền | Tài sản được gắn bó): Tài sản có nguy cơ mất liên kết, mục tiêu là giữ giá gắn bó với RA, nhưng có thể lệch khỏi tỷ giá hối đoái do biến động thị trường, rủi ro giao thức và các yếu tố khác (ví dụ như ETH::stETH trong thị trường stETH).
DS (Depeg Swap | Tách neo hoán đổi): Công cụ phái sinh cốt lõi do giao thức Cork phát hành, được sử dụng để phòng tránh rủi ro tách neo, về bản chất tương tự như hoán đổi tín dụng truyền thống trong tài chính ###CDS(, người dùng có thể mua loại token này để tránh rủi ro tách neo.
CT (Cover Token | Token bao phủ): Công cụ phái sinh đi kèm với DS, được sử dụng để chịu rủi ro mất giá và kiếm lợi nhuận, tương tự như vai trò của bên bán trong CDS, nếu xảy ra mất giá, người nắm giữ sẽ chịu tổn thất.
Tỷ giá: Tham số cốt lõi đo lường mối quan hệ giá trị giữa PA và RA, ảnh hưởng trực tiếp đến việc xác định sự kiện tháo rời và logic thanh toán của các giao dịch phái sinh. Hiện tại, giao thức Cork cho phép người dùng sử dụng Nhà cung cấp Tỷ giá tùy chỉnh để tạo ra thị trường.
Cork Vault: Quản lý tự động tính thanh khoản qua các thời hạn, nâng cao hiệu quả vốn.
Peg Stability Module )PSM(: Chịu trách nhiệm đúc/tiêu hủy DS và CT, thiết lập thời hạn thị trường và điều chỉnh giá một cách động thông qua AMM. Nó cho phép người dùng thực hiện các hoán đổi sau đây:
PA + DS = RACT + DS = RA
) Nguyên nhân gốc
Nguyên nhân cơ bản của cuộc tấn công lần này là ở chỗ Cork cho phép người dùng tạo ra tài sản chuộc với bất kỳ tài sản nào thông qua hợp đồng CorkConfig (RA), khiến kẻ tấn công có thể sử dụng DS như RA. Mặt khác, bất kỳ người dùng nào cũng có thể gọi hàm beforeSwap của hợp đồng CorkHook mà không cần ủy quyền, cho phép người dùng truyền dữ liệu hook tùy chỉnh để thực hiện thao tác CorkCall, khiến kẻ tấn công có thể điều khiển, gửi DS hợp pháp trong thị trường vào một thị trường khác để sử dụng làm RA và nhận được các token DS và CT tương ứng.
phân tích tấn công
Các kẻ tấn công trước tiên đã mua token weETH8CT-2 trên thị trường hợp pháp bằng wstETH, để cuối cùng có thể kết hợp với token DS để đổi lại token wstETH của RA.
Sau đó, kẻ tấn công đã tạo ra một thị trường mới và sử dụng nhà cung cấp Tỷ lệ trao đổi tùy chỉnh, thị trường này được tạo ra với token weETH8DS-2 làm RA và wstETH làm PA, vì vậy các token chính của thị trường mới tương ứng như sau:
Các mã thông báo chính tương ứng với thị trường của weETH8DS-2 như sau:
RA: wstETHPA: weETHCT: weETH8CT-2DS: weETH8DS-2
![Thiệt hại vượt qua 10 triệu đô la, phân tích sự kiện Cork Protocol bị hack]###https://img.gateio.im/social/moments-6d40df3c5df842bffe4050ced817e4f7(
Sau khi tạo xong thị trường mới, kẻ tấn công thêm một số thanh khoản vào thị trường để giao thức có thể khởi tạo bể thanh khoản tương ứng trong Uniswap v4, để CorkHook có thể thực hiện beforeSwap trong bể này sau đó.
![Thiệt hại trên 10 triệu USD, phân tích sự cố bị hack của Cork Protocol])https://img.gateio.im/social/moments-7ca8b4288d35bf23f9c295a2bd3f1f75(
Tiếp theo, điều quan trọng nhất là chỉ cần dưới điều kiện được mở khóa trong Uniswap V4 Pool Manager, bất kỳ người dùng nào cũng có thể gọi hàm beforeSwap của CorkHook với bất kỳ tham số nào để thao tác vào tính thanh khoản của thị trường của giao thức. Do đó, kẻ tấn công thông qua chức năng unlockCallback của Uniswap V4 Pool Manager khi được mở khóa, gọi hàm beforeSwap của CorkHook và truyền vào thị trường và dữ liệu hook do chính họ định nghĩa.
![Thiệt hại vượt quá 10 triệu đô la, Phân tích sự kiện Cork Protocol bị hack])https://img.gateio.im/social/moments-688b3bf9affc00d9ad7c64ec4ab296e6(
beforeSwap sẽ gọi lại hàm CorkCall của thị trường hợp pháp, thực thi dữ liệu hook đã chỉ định:
![Thiệt hại trên 10 triệu USD, Phân tích sự kiện Cork Protocol bị hack])https://img.gateio.im/social/moments-0763176bfe56c27887b0f72f268d2fcb(
CorkCall tin tưởng dữ liệu hợp pháp được truyền vào từ CorkHook và trực tiếp thực hiện phân tích.
![Tổn thất trên 10 triệu đô la, Phân tích sự cố bị hack của Cork Protocol])https://img.gateio.im/social/moments-d0bfe5524c9504398f0bd738d19b2dc5(
Điều này cho phép kẻ tấn công chuyển lượng token weETH8DS-2 nhất định từ thị trường hợp pháp vào thị trường mới mà họ tạo ra dưới dạng RA bằng cách xây dựng dữ liệu hook, và nhận được token CT và DS tương ứng với thị trường mới.
![Thiệt hại lên đến hàng triệu đô la, Phân tích sự cố Cork Protocol bị hack])https://img.gateio.im/social/moments-b4bf5fab8b089296045c68eb6268e7f7(
Và dựa trên đặc điểm của PSM, kẻ tấn công có thể sử dụng CT và token DS đã có được để đổi lấy token RA trên thị trường mới, tức là token weETH8DS-2.
![Thiệt hại trên mười triệu đô la, Phân tích sự kiện Cork Protocol bị hack])https://img.gateio.im/social/moments-3f812558f1fd9c4179d40405842a6e8f(
Sau khi nhận được token weETH8DS-2, kẻ tấn công có thể ghép nó với token weETH8CT-2 đã mua trước đó để đổi lại token wstETH trên thị trường ban đầu.
![Tổn thất hơn mười triệu đô la Mỹ, phân tích sự kiện Cork Protocol bị hack])https://img.gateio.im/social/moments-6ea12d04829717206583dd81b158c287(
Đến đây, kẻ tấn công đã lợi dụng việc thị trường không giới hạn loại tài sản có thể được rút và giao thức không xác minh người gọi của CorkHook.beforeSwap cùng với dữ liệu đầu vào, cho phép họ chuyển đổi tính thanh khoản DS hợp pháp của thị trường này sang một thị trường khác như RA để rút tiền, nhằm đánh cắp tính thanh khoản từ bất kỳ thị trường nào.
) Phân tích MistTrack
Theo phân tích của công cụ chống rửa tiền và theo dõi trên chuỗi MistTrack, địa chỉ tấn công 0xea6f30e360192bae715599e15e2f765b49e4da98 đã thu lợi 3,761.878 wstETH, trị giá hơn 12 triệu đô la.
Sau đó, kẻ tấn công thông qua
8 giao dịch sẽ đổi wstETH thành 4,527 ETH:
![Thiệt hại vượt quá 10 triệu đô la, Phân tích sự cố bị hack Cork Protocol]###https://img.gateio.im/social/moments-57a7c898ed2702ba6415a3119699cbae(
Ngoài ra, số vốn ban đầu của kẻ tấn công đến từ 4.861 ETH chuyển từ Swapuz.com.
![Thiệt hại vượt quá 10 triệu đô la, Phân tích sự kiện Cork Protocol bị tấn công])https://img.gateio.im/social/moments-9b30cb058d123b05bb0cbc5ae71157a4(
Tính đến thời điểm hiện tại, tổng cộng 4.530,5955 ETH vẫn còn trên địa chỉ của kẻ tấn công và chúng tôi sẽ tiếp tục theo dõi các khoản tiền.
![Tổn thất trên 10 triệu USD, Phân tích sự kiện Cork Protocol bị hack])https://img.gateio.im/social/moments-14f507331b58d057ccc3213592cf8cd3(
) Tóm tắt
Nguyên nhân cơ bản của cuộc tấn công lần này là do chưa xác minh chặt chẽ dữ liệu người dùng truyền vào có phù hợp với mong đợi hay không, dẫn đến khả năng thanh khoản của giao thức có thể bị thao túng và chuyển sang các thị trường không mong đợi, từ đó bị kẻ tấn công thu hồi bất hợp pháp để thu lợi. Nhóm an ninh Slow Mist khuyên các nhà phát triển trong quá trình thiết kế nên cẩn thận xác minh từng bước hoạt động của giao thức có nằm trong mong đợi hay không, và nghiêm ngặt hạn chế loại tài sản trên thị trường.
Xem bản gốc
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Mất hơn k triệu đô la, phân tích sự kiện Cork Protocol bị hack
Tác giả: Kong & Lisa
Biên tập: Liz
Bối cảnh
Vào ngày 28 tháng 5, SlowMist( đã phát hiện hoạt động khả nghi tiềm ẩn liên quan đến Cork Protocol và phát hành cảnh báo an ninh, khuyên người dùng nâng cao cảnh giác, chú ý đến an toàn tài khoản và quỹ.
![Thiệt hại hơn 10 triệu USD, phân tích sự kiện Cork Protocol bị hack])https://img.gateio.im/social/moments-cefaf15fd34fb53304996818fcc8c598(
Ngay sau đó, Cork Protocol đã đưa ra một thông báo cho biết: "Một sự cố bảo mật đã xảy ra trên thị trường wstETH:weETH vào lúc 11:23 UTC hôm nay. Để ngăn chặn rủi ro mở rộng, Cork đã tạm dừng giao dịch ở tất cả các thị trường khác và hiện không có thị trường nào khác bị ảnh hưởng. Nhóm đang tích cực điều tra nguyên nhân của sự cố và sẽ tiếp tục cung cấp thông tin cập nhật về những diễn biến. ”
![Thiệt hại hơn 10 triệu USD, Phân tích sự kiện Cork Protocol bị hack])https://img.gateio.im/social/moments-b6c961ae39e4375d9e4e908dc9e9d653(
Sau sự cố, đội ngũ bảo mật SlowMist đã can thiệp vào việc phân tích càng sớm càng tốt, sau đây là phân tích chi tiết về các phương thức tấn công và đường dẫn chuyển tiền.
) Kiến thức nền tảng
Cork Protocol là một công cụ nhằm cung cấp chức năng tương tự như hợp đồng hoán đổi tín dụng (CDS) trong tài chính truyền thống cho hệ sinh thái DeFi, cụ thể là hợp đồng hoán đổi Depeg, được thiết kế để phòng ngừa rủi ro mất giá của các tài sản liên kết như stablecoin, token staking có tính thanh khoản, RWA, v.v. Cơ chế cốt lõi xoay quanh rủi ro mất giá của stablecoin và token staking có tính thanh khoản, cho phép người dùng chuyển giao rủi ro biến động giá của stablecoin hoặc LST/LRT cho các thành viên tham gia thị trường thông qua việc giao dịch các sản phẩm phái sinh rủi ro, từ đó giảm thiểu rủi ro và nâng cao hiệu quả vốn, các khái niệm chính như sau:
RA (Tài sản Đổi | 赎回资产): Tài sản chuẩn được sử dụng trong thị trường Cork để đổi hoặc thanh toán cho các sự kiện mất chốt (ví dụ: ETH trong thị trường ETH::stETH).
PA (Tài sản gắn liền | Tài sản được gắn bó): Tài sản có nguy cơ mất liên kết, mục tiêu là giữ giá gắn bó với RA, nhưng có thể lệch khỏi tỷ giá hối đoái do biến động thị trường, rủi ro giao thức và các yếu tố khác (ví dụ như ETH::stETH trong thị trường stETH).
DS (Depeg Swap | Tách neo hoán đổi): Công cụ phái sinh cốt lõi do giao thức Cork phát hành, được sử dụng để phòng tránh rủi ro tách neo, về bản chất tương tự như hoán đổi tín dụng truyền thống trong tài chính ###CDS(, người dùng có thể mua loại token này để tránh rủi ro tách neo.
CT (Cover Token | Token bao phủ): Công cụ phái sinh đi kèm với DS, được sử dụng để chịu rủi ro mất giá và kiếm lợi nhuận, tương tự như vai trò của bên bán trong CDS, nếu xảy ra mất giá, người nắm giữ sẽ chịu tổn thất.
Tỷ giá: Tham số cốt lõi đo lường mối quan hệ giá trị giữa PA và RA, ảnh hưởng trực tiếp đến việc xác định sự kiện tháo rời và logic thanh toán của các giao dịch phái sinh. Hiện tại, giao thức Cork cho phép người dùng sử dụng Nhà cung cấp Tỷ giá tùy chỉnh để tạo ra thị trường.
Cork Vault: Quản lý tự động tính thanh khoản qua các thời hạn, nâng cao hiệu quả vốn.
Peg Stability Module )PSM(: Chịu trách nhiệm đúc/tiêu hủy DS và CT, thiết lập thời hạn thị trường và điều chỉnh giá một cách động thông qua AMM. Nó cho phép người dùng thực hiện các hoán đổi sau đây:
PA + DS = RACT + DS = RA
) Nguyên nhân gốc
Nguyên nhân cơ bản của cuộc tấn công lần này là ở chỗ Cork cho phép người dùng tạo ra tài sản chuộc với bất kỳ tài sản nào thông qua hợp đồng CorkConfig (RA), khiến kẻ tấn công có thể sử dụng DS như RA. Mặt khác, bất kỳ người dùng nào cũng có thể gọi hàm beforeSwap của hợp đồng CorkHook mà không cần ủy quyền, cho phép người dùng truyền dữ liệu hook tùy chỉnh để thực hiện thao tác CorkCall, khiến kẻ tấn công có thể điều khiển, gửi DS hợp pháp trong thị trường vào một thị trường khác để sử dụng làm RA và nhận được các token DS và CT tương ứng.
phân tích tấn công
Các kẻ tấn công trước tiên đã mua token weETH8CT-2 trên thị trường hợp pháp bằng wstETH, để cuối cùng có thể kết hợp với token DS để đổi lại token wstETH của RA.
Sau đó, kẻ tấn công đã tạo ra một thị trường mới và sử dụng nhà cung cấp Tỷ lệ trao đổi tùy chỉnh, thị trường này được tạo ra với token weETH8DS-2 làm RA và wstETH làm PA, vì vậy các token chính của thị trường mới tương ứng như sau:
RA: weETH8DS-2PA: wstETHCT: wstETH5CT-3DS: wstETH5DS-3
Các mã thông báo chính tương ứng với thị trường của weETH8DS-2 như sau:
RA: wstETHPA: weETHCT: weETH8CT-2DS: weETH8DS-2
![Thiệt hại vượt qua 10 triệu đô la, phân tích sự kiện Cork Protocol bị hack]###https://img.gateio.im/social/moments-6d40df3c5df842bffe4050ced817e4f7(
Sau khi tạo xong thị trường mới, kẻ tấn công thêm một số thanh khoản vào thị trường để giao thức có thể khởi tạo bể thanh khoản tương ứng trong Uniswap v4, để CorkHook có thể thực hiện beforeSwap trong bể này sau đó.
![Thiệt hại trên 10 triệu USD, phân tích sự cố bị hack của Cork Protocol])https://img.gateio.im/social/moments-7ca8b4288d35bf23f9c295a2bd3f1f75(
Tiếp theo, điều quan trọng nhất là chỉ cần dưới điều kiện được mở khóa trong Uniswap V4 Pool Manager, bất kỳ người dùng nào cũng có thể gọi hàm beforeSwap của CorkHook với bất kỳ tham số nào để thao tác vào tính thanh khoản của thị trường của giao thức. Do đó, kẻ tấn công thông qua chức năng unlockCallback của Uniswap V4 Pool Manager khi được mở khóa, gọi hàm beforeSwap của CorkHook và truyền vào thị trường và dữ liệu hook do chính họ định nghĩa.
![Thiệt hại vượt quá 10 triệu đô la, Phân tích sự kiện Cork Protocol bị hack])https://img.gateio.im/social/moments-688b3bf9affc00d9ad7c64ec4ab296e6(
beforeSwap sẽ gọi lại hàm CorkCall của thị trường hợp pháp, thực thi dữ liệu hook đã chỉ định:
![Thiệt hại trên 10 triệu USD, Phân tích sự kiện Cork Protocol bị hack])https://img.gateio.im/social/moments-0763176bfe56c27887b0f72f268d2fcb(
CorkCall tin tưởng dữ liệu hợp pháp được truyền vào từ CorkHook và trực tiếp thực hiện phân tích.
![Tổn thất trên 10 triệu đô la, Phân tích sự cố bị hack của Cork Protocol])https://img.gateio.im/social/moments-d0bfe5524c9504398f0bd738d19b2dc5(
Điều này cho phép kẻ tấn công chuyển lượng token weETH8DS-2 nhất định từ thị trường hợp pháp vào thị trường mới mà họ tạo ra dưới dạng RA bằng cách xây dựng dữ liệu hook, và nhận được token CT và DS tương ứng với thị trường mới.
![Thiệt hại lên đến hàng triệu đô la, Phân tích sự cố Cork Protocol bị hack])https://img.gateio.im/social/moments-b4bf5fab8b089296045c68eb6268e7f7(
Và dựa trên đặc điểm của PSM, kẻ tấn công có thể sử dụng CT và token DS đã có được để đổi lấy token RA trên thị trường mới, tức là token weETH8DS-2.
![Thiệt hại trên mười triệu đô la, Phân tích sự kiện Cork Protocol bị hack])https://img.gateio.im/social/moments-3f812558f1fd9c4179d40405842a6e8f(
Sau khi nhận được token weETH8DS-2, kẻ tấn công có thể ghép nó với token weETH8CT-2 đã mua trước đó để đổi lại token wstETH trên thị trường ban đầu.
![Tổn thất hơn mười triệu đô la Mỹ, phân tích sự kiện Cork Protocol bị hack])https://img.gateio.im/social/moments-6ea12d04829717206583dd81b158c287(
Đến đây, kẻ tấn công đã lợi dụng việc thị trường không giới hạn loại tài sản có thể được rút và giao thức không xác minh người gọi của CorkHook.beforeSwap cùng với dữ liệu đầu vào, cho phép họ chuyển đổi tính thanh khoản DS hợp pháp của thị trường này sang một thị trường khác như RA để rút tiền, nhằm đánh cắp tính thanh khoản từ bất kỳ thị trường nào.
) Phân tích MistTrack
Theo phân tích của công cụ chống rửa tiền và theo dõi trên chuỗi MistTrack, địa chỉ tấn công 0xea6f30e360192bae715599e15e2f765b49e4da98 đã thu lợi 3,761.878 wstETH, trị giá hơn 12 triệu đô la.
Sau đó, kẻ tấn công thông qua
8 giao dịch sẽ đổi wstETH thành 4,527 ETH:
![Thiệt hại vượt quá 10 triệu đô la, Phân tích sự cố bị hack Cork Protocol]###https://img.gateio.im/social/moments-57a7c898ed2702ba6415a3119699cbae(
Ngoài ra, số vốn ban đầu của kẻ tấn công đến từ 4.861 ETH chuyển từ Swapuz.com.
![Thiệt hại vượt quá 10 triệu đô la, Phân tích sự kiện Cork Protocol bị tấn công])https://img.gateio.im/social/moments-9b30cb058d123b05bb0cbc5ae71157a4(
Tính đến thời điểm hiện tại, tổng cộng 4.530,5955 ETH vẫn còn trên địa chỉ của kẻ tấn công và chúng tôi sẽ tiếp tục theo dõi các khoản tiền.
![Tổn thất trên 10 triệu USD, Phân tích sự kiện Cork Protocol bị hack])https://img.gateio.im/social/moments-14f507331b58d057ccc3213592cf8cd3(
) Tóm tắt
Nguyên nhân cơ bản của cuộc tấn công lần này là do chưa xác minh chặt chẽ dữ liệu người dùng truyền vào có phù hợp với mong đợi hay không, dẫn đến khả năng thanh khoản của giao thức có thể bị thao túng và chuyển sang các thị trường không mong đợi, từ đó bị kẻ tấn công thu hồi bất hợp pháp để thu lợi. Nhóm an ninh Slow Mist khuyên các nhà phát triển trong quá trình thiết kế nên cẩn thận xác minh từng bước hoạt động của giao thức có nằm trong mong đợi hay không, và nghiêm ngặt hạn chế loại tài sản trên thị trường.