漏洞详解｜锚定资产协议 Cork Protocol 1200 万美元被盗事件解析与资金追踪

近期，以太链上的 Cork Protocol 遭受攻击，攻击者通过项目合约的逻辑漏洞（未验证关键参数）获利 1200 万美元。本文对本次攻击事件进行了详细的分析和资金追踪。

撰文：Beosin

近期，以太链上的 Cork Protocol 遭受攻击，攻击者通过项目合约的逻辑漏洞（未验证关键参数）获利 1200 万美元。Beosin 安全团队对本次攻击事件进行了详细的分析和资金追踪，并将结果分享如下：

详细攻击步骤

在分析攻击之前，我们需要了解 Cork Protocol 特殊的业务逻辑。它引入了类似于传统金融的信用违约互换机制（称为 Depeg Swap），将锚定资产（如 stETH）的脱锚风险代币化，用户可以就锚定资产的脱锚风险进行对冲或者交易。其中代币类型有：

• 赎回资产（Redemption Asset, RA）：基础资产（如 ETH）

• 锚定资产（Pegged Asset, PA）：与基础资产锚定的资产（如 stETH）

• Depeg Swaps（DS）：类似于看跌期权，对冲价格下跌

• 覆盖代币 (Cover Token, CT) — 类似于看涨期权，未发生脱锚，可赚取收益；发生脱锚，则需要承担损失

当用户存入 RA 时，Cork Protocol 会铸造 DS 和 CT 代币，用户可进行交易或赎回以押注或对冲风险。

此次攻击涉及真实的代币市场与攻击者构造的虚假市场：

(1) 攻击者首先创建了一个虚假市场，此市场的 RA 为 weETH8DS-2 代币，PA 为 wstETH。可以注意到，weETH8DS-2 本来在真实市场中作为 DS，却可以在虚假市场中作为 RA，这本应该通过跨市场的代币校验禁止的。

(2) 攻击者从真实市场中购买 weETH8CT-2。

(3) 攻击者利用了 CorkHook 函数中 beforeSwap 函数缺乏正确的访问控制，向 CorkCall 函数发送自定义 Hook 数据，迫使其将自己的 weETH8DS-2 拆分为 fake_DS 和 fake_CT。之所以能够做到这一点，是因为 weETH8DS-2 是虚假市场的 RA，该函数认为 fake_DS 和 fake_CT 属于攻击者。

(4) fake_DS 和 fake_CT 代币被转移给了攻击者后，根据 Cork Protocol 的规则：DS 和 CT 代币可以兑换成 RA 代币。攻击者将收到的 fake_DS 和 fake_CT 代币通过虚拟市场兑换成了 weETH8DS-2。

(5) 目前攻击者拥有从步骤 2 中购买的 weETH8CT-2，重新组装的 weETH8DS-2，而这可以从真实市场兑换成 RA（即 wstETH）。

由此，攻击者可以将真实市场的 DS 流动性转移到另一市场（构建的虚假市场）作为 RA 进行赎回，从而提取真实市场中 RA 的流动性。攻击者在本次事件中盗取了 3761 wstETH，并将其兑换成价值约 1200 万美元的 ETH。

漏洞分析

通过以上攻击流程，我们可以看到整个事件的漏洞利用原因有以下三点：

• 缺少验证：没有检查用作 RA 的 DS 是否已在其它市场使用。

• CorkCall 未经适当验证的可信用户提供的回调数据。

• 该协议允许创建无需许可、不受限制的市场。

虽然 Cork Protocol 经历了多次安全审计和审计竞赛，但这个逻辑层面的漏洞还是被忽略了。而如果对代币可重用性进行更严格的检查、严格校验回调数据，并对市场创建进行更严格的控制，这种攻击就可以避免。

被盗资金追踪

Beosin Trace 对被盗资金进行追踪发现：攻击者地址 0xea6f30e360192bae715599e15e2f765b49e4da98 获利约 3761 wstETH，随后通过 Uniswap、1inch 等 DeFi 协议将 wstETH 兑换成 ETH，共计数量为 4530.6。

目前被盗资金还未进行转移。Beosin Trace 已将黑客相关地址加入黑地址库，后续将持续追踪。

据 Beosin Trace 分析，所有被盗资金仍存放在攻击者地址

总结

本次攻击的核心在于 Cork Protocol 的一个核心业务逻辑漏洞，导致攻击者通过虚假代币盗取了大量 wstETH。像 Cork Protocol 此类复杂的 DeFi 协议，需要通过多方面、多层次的安全审计，对合约的业务逻辑进行详尽的测试和审查。此前，Beosin 安全团队已完成多个 DeFi 协议（如 Surf Protocol、SyncSwap、LeverFi、Owlto Finance）的安全审计，专注于发现合约逻辑缺陷和可能被忽略的极端情况，确保协议经过全方位的检测。