การวิเคราะห์เหตุการณ์การถูกแฮ็กของ Cork Protocol ที่มีการสูญเสียเกิน 10 ล้านดอลลาร์สหรัฐ

ผู้เขียน: Kong & Lisa

แก้ไขโดย: Liz

พื้นหลัง

เมื่อวันที่ 28 พฤษภาคม SlowMist( ได้ตรวจพบกิจกรรมที่น่าสงสัยที่เกี่ยวข้องกับ Cork Protocol และได้เผยแพร่การเตือนด้านความปลอดภัย แนะนำให้ผู้ใช้เพิ่มความระมัดระวังเกี่ยวกับความปลอดภัยของบัญชีและเงินทุน

![การวิเคราะห์เหตุการณ์การถูกแฮ็กของ Cork Protocol ที่สูญเสียมากกว่า 10 ล้านดอลลาร์])https://img.gateio.im/social/moments-cefaf15fd34fb53304996818fcc8c598(

)(

ไม่นานหลังจากนั้น Cork Protocol ได้ออกแถลงการณ์ว่า: “วันนี้เวลา UTC 11:23 เกิดเหตุการณ์ความปลอดภัยในตลาด wstETH:weETH เพื่อป้องกันความเสี่ยงที่อาจขยายตัว Cork ได้หยุดการซื้อขายในตลาดอื่น ๆ ทั้งหมด ขณะนี้ยังไม่มีตลาดอื่นใดที่ได้รับผลกระทบ ทีมงานกำลังสืบสวนสาเหตุของเหตุการณ์ และจะมีการอัปเดตความก้าวหน้าอย่างต่อเนื่อง.”

![การวิเคราะห์เหตุการณ์การถูกแฮ็กของ Cork Protocol ที่สูญเสียมากกว่า 10 ล้านดอลลาร์])https://img.gateio.im/social/moments-b6c961ae39e4375d9e4e908dc9e9d653(

)(

หลังจากเกิดเหตุการณ์ ทีมความปลอดภัยของ Slow Fog ได้เข้าไปวิเคราะห์ในทันที ด้านล่างนี้เป็นการวิเคราะห์รายละเอียดเกี่ยวกับวิธีการโจมตีและเส้นทางการโอนเงิน

) ความรู้เบื้องต้น

Cork Protocol เป็นเครื่องมือที่มุ่งหวังจะให้ฟังก์ชันที่คล้ายกับ Credit Default Swap ในการเงินแบบดั้งเดิม ###CDS( ซึ่งคือ Depeg Swap ที่ออกแบบมาเพื่อป้องกันความเสี่ยงการถอดตัวของสินทรัพย์ที่ผูกติดกับ Stablecoin, Liquid Staking Token, RWA เป็นต้น กลไกหลักของมันมุ่งเน้นไปที่ความเสี่ยงการถอดตัวของ Stablecoin และ Liquid Staking Token อนุญาตให้ผู้ใช้สามารถถ่ายโอนความเสี่ยงจากความผันผวนของราคา Stablecoin หรือ LST/LRT ไปยังผู้เข้าร่วมในตลาดผ่านการซื้อขายอนุพันธ์ความเสี่ยง เพื่อลดความเสี่ยงและเพิ่มประสิทธิภาพทางการเงิน โดยมีแนวคิดสำคัญดังนี้:

RA (Redemption Asset | สินทรัพย์การไถ่ถอน): สินทรัพย์มาตรฐานที่ใช้ในตลาด Cork เพื่อการไถ่ถอนหรือการชำระบัญชีเหตุการณ์การหลุดออก (เช่น ETH::stETH ในตลาด ETH).

PA (Pegged Asset | สินทรัพย์ที่เชื่อมโยง): สินทรัพย์ที่มีความเสี่ยงที่จะหลุดจากการเชื่อมโยง เป้าหมายคือการรักษาราคาให้เชื่อมโยงกับ RA แต่สามารถเบี่ยงเบนจากอัตราแลกเปลี่ยนที่เชื่อมโยงได้เนื่องจากความผันผวนของตลาด ความเสี่ยงของโปรโตคอล และปัจจัยอื่น ๆ (เช่น ETH::stETH ในตลาด stETH).

DS（Depeg Swap | 脱锚掉期）：Cork โปรโตคอลที่ออกเครื่องมืออนุพันธ์หลักเพื่อป้องกันความเสี่ยงจากการ脱锚 โดยมีลักษณะคล้ายกับการแลกเปลี่ยนความเสี่ยงเครดิตในการเงินดั้งเดิม )CDS( ผู้ใช้สามารถซื้อโทเค็นประเภทนี้เพื่อหลีกเลี่ยงความเสี่ยงจากการ脱锚.

CT (Cover Token | โทเคนคุ้มครอง): เครื่องมืออนุพันธ์ที่จับคู่กับ DS เพื่อรับความเสี่ยงจากการแยกตัวและสร้างรายได้ คล้ายกับบทบาทของผู้ขายใน CDS หากเกิดการแยกตัว ผู้ถือจะรับผิดชอบต่อการขาดทุน.

อัตราแลกเปลี่ยน: เป็นพารามิเตอร์หลักที่วัดความสัมพันธ์ด้านค่าใช้จ่ายระหว่าง PA และ RA ซึ่งส่งผลโดยตรงต่อการตัดสินใจเกี่ยวกับเหตุการณ์การพ้นจากการยึดและตรรกะการชำระบัญชีของการซื้อขายอนุพันธ์ ในปัจจุบัน โปรโตคอล Cork อนุญาตให้ผู้ใช้สร้างตลาดโดยใช้ผู้ให้บริการอัตราแลกเปลี่ยนที่กำหนดเอง

Cork Vault: การจัดการสภาพคล่องข้ามระยะเวลาโดยอัตโนมัติ，提高ประสิทธิภาพของทุน。

Peg Stability Module )PSM(: รับผิดชอบในการหล่อ/ทำลาย DS และ CT, ตั้งระยะเวลาตลาด และปรับราคาแบบไดนามิกผ่าน AMM. อนุญาตให้ผู้ใช้ทำการแลกเปลี่ยนต่อไปนี้:

PA + DS = แรคต์ + DS = RA

) สาเหตุหลัก

สาเหตุพื้นฐานของการโจมตีครั้งนี้อยู่ที่ด้านหนึ่ง Cork อนุญาตให้ผู้ใช้สร้างสินทรัพย์ใด ๆ เป็นสินทรัพย์ที่สามารถไถ่ถอนผ่านสัญญา CorkConfig ###RA( ทำให้ผู้โจมตีสามารถใช้ DS เป็น RA ได้ ด้านหนึ่งผู้ใช้ที่ไม่มีการอนุญาตสามารถเรียกใช้ฟังก์ชัน beforeSwap ของสัญญา CorkHook ได้ และอนุญาตให้ผู้ใช้ส่งข้อมูล hook ที่กำหนดเองเพื่อทำการ CorkCall ทำให้ผู้โจมตีสามารถควบคุมและฝาก DS ที่ถูกกฎหมายในตลาดหนึ่งไปยังอีกตลาดหนึ่งเพื่อใช้เป็น RA และได้รับ DS และโทเค็น CT ที่เกี่ยวข้อง.

) การวิเคราะห์การโจมตี

ผู้โจมตีเริ่มต้นด้วยการซื้อโทเค็น weETH8CT-2 ด้วย wstETH ในตลาดที่ถูกต้องตามกฎหมาย เพื่อที่จะสามารถรวมกับโทเค็น DS และขอคืนเป็น wstETH ของ RA ได้ในที่สุด.

! [ขาดทุนมากกว่า 10 ล้านเหรียญสหรัฐการวิเคราะห์เหตุการณ์การแฮ็กโปรโตคอลคอร์ก]###https://img.gateio.im/social/moments-e27510a1679fa0354b2809762090afd1(

จากนั้นผู้โจมตีได้สร้างตลาดใหม่และใช้ผู้ให้บริการอัตราแลกเปลี่ยนที่กำหนดเอง ตลาดนี้ถูกสร้างขึ้นโดยใช้โทเค็น weETH8DS-2 เป็น RA และ wstETH เป็น PA ดังนั้นโทเค็นหลักของตลาดใหม่จึงมีความสัมพันธ์ดังนี้:

RA: weETH8DS-2PA: wstETHCT: wstETH5CT-3DS: wstETH5DS-3

และโทเค็นหลักที่เกี่ยวข้องกับตลาดที่ weETH8DS-2 อยู่มีดังนี้:

RA: wstETHPA: weETHCT: weETH8CT-2DS: weETH8DS-2

![ขาดทุนมากกว่า 10 ล้านดอลลาร์ สรุปเหตุการณ์การถูกแฮ็กของ Cork Protocol])https://img.gateio.im/social/moments-6d40df3c5df842bffe4050ced817e4f7(

หลังจากสร้างตลาดใหม่เสร็จสิ้น ผู้โจมตีได้เพิ่มสภาพคล่องบางส่วนลงในตลาดเพื่อให้โปรโตคอลสามารถเริ่มต้นสระสภาพคล่องที่เกี่ยวข้องใน Uniswap v4 ได้ เพื่อให้ CorkHook สามารถดำเนินการ beforeSwap ในสระนี้ต่อไปได้

![การวิเคราะห์เหตุการณ์การถูกแฮ็กของ Cork Protocol ซึ่งทำให้สูญเสียมากกว่า 10 ล้านดอลลาร์])https://img.gateio.im/social/moments-7ca8b4288d35bf23f9c295a2bd3f1f75(

ถัดไป สิ่งที่สำคัญที่สุดคือ ตราบใดที่อยู่ภายใต้เงื่อนไขที่ปลดล็อคใน Uniswap V4 Pool Manager ผู้ใช้ใด ๆ ก็สามารถเรียกใช้ฟังก์ชัน beforeSwap ของ CorkHook และส่งพารามิเตอร์ใด ๆ เพื่อดำเนินการกับสภาพคล่องในตลาดของโปรโตคอลได้ ดังนั้น ผู้โจมตีจึงใช้ฟังก์ชัน unlockCallback ขณะปลดล็อคใน Uniswap V4 Pool Manager เพื่อเรียกใช้ฟังก์ชัน beforeSwap ของ CorkHook และส่งข้อมูลตลาดและ hook ที่กำหนดเอง.

![ขาดทุนกว่า 10 ล้านดอลลาร์ สรุปเหตุการณ์การถูกแฮ็กของ Cork Protocol])https://img.gateio.im/social/moments-688b3bf9affc00d9ad7c64ec4ab296e6(

beforeSwap จะเรียกฟังก์ชัน CorkCall ของตลาดที่ถูกต้อง ทำการดำเนินการข้อมูล hook ที่กำหนด:

![การวิเคราะห์เหตุการณ์ Cork Protocol ถูกแฮ็ก สูญเสียมากกว่า 10 ล้านดอลลาร์])https://img.gateio.im/social/moments-0763176bfe56c27887b0f72f268d2fcb(

CorkCall เชื่อถือข้อมูลที่ถูกส่งผ่าน CorkHook ที่ถูกต้องตามกฎหมายและดำเนินการ解析โดยตรง:

![สูญเสียมากกว่า 10 ล้านดอลลาร์สหรัฐ การวิเคราะห์เหตุการณ์ Cork Protocol ถูกแฮ็ก])https://img.gateio.im/social/moments-d0bfe5524c9504398f0bd738d19b2dc5(

สิ่งนี้ทำให้ผู้โจมตีสามารถสร้างข้อมูล hook เพื่อโอนจำนวน weETH8DS-2 โทเค็นที่กำหนดในตลาดที่ถูกกฎหมายไปยังตลาดใหม่ที่พวกเขาสร้างขึ้นในฐานะ RA และได้รับ CT และ DS โทเค็นที่สอดคล้องกับตลาดใหม่

![สูญเสียเกินสิบล้านดอลลาร์ สรุปเหตุการณ์การถูกแฮ็กของ Cork Protocol])https://img.gateio.im/social/moments-b4bf5fab8b089296045c68eb6268e7f7(

และตามลักษณะของ PSM ผู้โจมตีสามารถใช้ CT และ DS โทเค็นที่ได้มาในการแลกคืน RA โทเค็นในตลาดใหม่ นั่นคือ weETH8DS-2 โทเค็น.

![ขาดทุนเกินสิบล้านดอลลาร์ การวิเคราะห์เหตุการณ์ Cork Protocol ถูกแฮ็ก])https://img.gateio.im/social/moments-3f812558f1fd9c4179d40405842a6e8f(

หลังจากที่ได้รับโทเค็น weETH8DS-2 แล้ว ผู้โจมตีสามารถจับคู่กับโทเค็น weETH8CT-2 ที่ซื้อไว้ก่อนหน้านี้ เพื่อทำการแลกคืนโทเค็น wstETH ในตลาดเดิมได้

![สูญเสียกว่า 10 ล้านดอลลาร์สหรัฐ การวิเคราะห์เหตุการณ์การถูกแฮ็กของ Cork Protocol])https://img.gateio.im/social/moments-6ea12d04829717206583dd81b158c287(

จนกระทั่ง ผู้โจมตีใช้ประโยชน์จากประเภทสินทรัพย์ที่ไม่ถูกจำกัดในการไถ่ถอนในตลาด และโปรโตคอลไม่ได้ตรวจสอบผู้เรียก CorkHook.beforeSwap กับข้อมูลที่ส่งเข้ามา ทำให้เขาสามารถโอนสภาพคล่อง DS ที่ถูกต้องตามกฎหมายในตลาดหนึ่งไปยังตลาดอื่นเพื่อทำการไถ่ถอนเป็น RA เพื่อขโมยสภาพคล่องจากตลาดใดก็ได้.

) MistTrack การวิเคราะห์

ตามการวิเคราะห์ของเครื่องมือการติดตามและต่อต้านการฟอกเงิน MistTrack ที่ใช้บนบล็อกเชน ที่อยู่ของผู้โจมตี 0xea6f30e360192bae715599e15e2f765b49e4da98 ได้รับผลประโยชน์ 3,761.878 wstETH ซึ่งมีมูลค่ามากกว่า 12 ล้านดอลลาร์สหรัฐ

![การวิเคราะห์เหตุการณ์การถูกแฮ็ก Cork Protocol สูญเสีย超过สิบล้านดอลลาร์]###https://img.gateio.im/social/moments-935bc2da494aed41a46614acb3fc5e45(

จากนั้น ผู้โจมตีได้ผ่าน

8 การทำธุรกรรมจะแลก wstETH เป็น 4,527 ETH:

![สูญเสียมากกว่า 10 ล้านดอลลาร์สหรัฐ การวิเคราะห์เหตุการณ์การถูกแฮ็กของ Cork Protocol])https://img.gateio.im/social/moments-57a7c898ed2702ba6415a3119699cbae(

นอกจากนี้ เงินทุนเริ่มต้นของผู้โจมตีมาจากการโอน ETH 4.861 จาก Swapuz.com

![การวิเคราะห์เหตุการณ์การถูกแฮ็ก Cork Protocol ที่ทำให้สูญเสียมากกว่า 10 ล้านดอลลาร์])https://img.gateio.im/social/moments-9b30cb058d123b05bb0cbc5ae71157a4(

ณ ขณะนี้ มี ETH จำนวน 4,530.5955 ถูกเก็บอยู่ที่ที่อยู่ของผู้โจมตี เราจะทำการติดตามเงินทุนอย่างต่อเนื่อง.

![ขาดทุนเกินสิบล้านดอลลาร์ การวิเคราะห์เหตุการณ์การถูกแฮ็กของ Cork Protocol])https://img.gateio.im/social/moments-14f507331b58d057ccc3213592cf8cd3(

) สรุป

สาเหตุหลักของการโจมตีครั้งนี้คือการที่ไม่ตรวจสอบข้อมูลที่ผู้ใช้ส่งเข้ามาอย่างเคร่งครัดว่าตรงตามที่คาดหวังหรือไม่ ซึ่งทำให้สภาพคล่องของโปรโตคอลสามารถถูกควบคุมและโอนย้ายไปยังตลาดที่ไม่คาดคิดได้ จึงทำให้ผู้โจมตีสามารถไถ่ถอนและทำกำไรได้อย่างผิดกฎหมาย ทีมความปลอดภัย SlowMist แนะนำให้นักพัฒนาระมัดระวังในการออกแบบและตรวจสอบให้แน่ใจว่าการดำเนินการแต่ละขั้นตอนของโปรโตคอลนั้นอยู่ในกรอบที่คาดหวัง และจำกัดประเภทสินทรัพย์ในตลาดอย่างเคร่งครัด.