損失超千萬美元，Cork Protocol被黑事件分析

2025-05-30 06:10:00

作者：Kong & Lisa

編輯：Liz

背景

5 月 28 日，慢霧(SlowMist) 檢測到與 Cork Protocol 相關的潛在可疑活動並發布安全提醒，建議用戶提高警惕，注意帳戶與資金安全。

()

不久後，Cork Protocol 發布公告表示：“今日 UTC 時間 11:23，wstETH:weETH 市場發生安全事件。爲防止風險擴大，Cork 已暫停所有其他市場交易，目前暫無其他市場受影響。團隊正在積極調查事件原因，並將持續更新相關進展。”

()

事件發生後，慢霧安全團隊第一時間介入分析，以下是對攻擊手法及資金轉移路徑的詳細解析。

前置知識

Cork Protocol 是一個旨在爲 DeFi 生態提供類似傳統金融中信用違約掉期(CDS) 功能的工具 —— Depeg 掉期，專門用於對沖穩定幣、流動性質押代幣、RWA 等掛鉤資產的脫錨風險。其核心機制圍繞穩定幣和流動性質押代幣的脫錨風險展開，允許用戶通過交易風險衍生品，將穩定幣或 LST/LRT 的價格波動風險轉移給市場參與者，從而降低風險並提升資本效率，關鍵概念如下：

RA（Redemption Asset | 贖回資產）：Cork 市場中用於贖回或結算脫錨事件的基準資產（例如 ETH::stETH 市場中的 ETH）。

PA（Pegged Asset | 掛鉤資產）：存在脫錨風險的資產，目標是與 RA 保持價格掛鉤，但可能因市場波動、協議風險等因素偏離錨定匯率（例如 ETH::stETH 市場中的 stETH）。

DS（Depeg Swap | 脫錨掉期）：Cork 協議發行的核心衍生工具，用於對沖脫錨風險，本質類似傳統金融中的信用違約掉期(CDS)，用戶可以購買此類代幣來規避脫錨風險。

CT（Cover Token | 覆蓋代幣）：與 DS 配對的衍生工具，用於承擔脫錨風險並賺取收益，類似 CDS 中的賣方角色，如果發生脫錨，持有者將承擔損失。

Exchange Rate：衡量 PA 與 RA 之間價值關係的核心參數，直接影響脫錨事件的判定和衍生品交易的結算邏輯。目前，Cork 協議允許用戶使用自定義 Exchange Rate Provider 創建市場。

Cork Vault：自動化管理跨期限的流動性，提升資本效率。

Peg Stability Module (PSM)：負責鑄造/銷毀 DS 和 CT，設定市場期限，並通過 AMM 動態調整價格。其允許用戶做以下兌換：

PA + DS = RACT + DS = RA

根本原因

此次攻擊的根本原因在於一方面 Cork 允許用戶通過 CorkConfig 合約創建以任意資產作爲贖回資產(RA)，使得攻擊者可以將 DS 作爲 RA 使用。另一方面任意用戶都可以無需授權的調用 CorkHook 合約的 beforeSwap 函數，並允許用戶傳入自定的 hook 數據進行 CorkCall 操作，使得攻擊者可以操控，將合法市場中的 DS 存入另一個市場中作爲 RA 使用，並獲得對應的 DS 和 CT 代幣。

攻擊分析

攻擊者首先在合法市場上用 wstETH 購買了 weETH8CT-2 代幣，以便最後可以與 DS 代幣組合贖回作爲 RA 的 wstETH 代幣。

隨後攻擊者創建了一個新的市場並使用了自定的 Exchange Rate 提供商，此市場以 weETH8DS-2 代幣作爲 RA，wstETH 作爲 PA 進行創建，因此新市場的關鍵代幣對應如下：

RA: weETH8DS-2PA: wstETHCT: wstETH5CT-3DS: wstETH5DS-3

而 weETH8DS-2 所在市場的關鍵代幣對應如下：

RA: wstETHPA: weETHCT: weETH8CT-2DS: weETH8DS-2

創建完新市場後，攻擊者通過向市場添加一定的流動性以使得協議可以在 Uniswap v4 中初始化對應的流動性池，以便 CorkHook 後續可以在此池子執行 beforeSwap。

緊接着，最關鍵的是，只要在 Uniswap V4 Pool Manager 解鎖的條件下，任何用戶都可以調用 CorkHook 的 beforeSwap 函數傳入任意參數，對協議的市場流動性進行操作。因此，攻擊者通過 Uniswap V4 Pool Manager 在解鎖時的 unlockCallback 功能，調用 CorkHook 的 beforeSwap 函數並傳入其自定的市場以及 hook 數據。