Протокол Cork зазнав атаки, збитки перевищили 10 мільйонів доларів
Нещодавно децентралізований фінансовий проект під назвою Cork Protocol став жертвою хакерської атаки, внаслідок якої втратили понад 12 мільйонів доларів. Цей проект має на меті забезпечити функціональність, подібну до кредитних дефолтних свопів (CDS) у традиційному фінансуванні, спеціально для хеджування ризиків девальвації активів, таких як стейблкоїни та ліквідні стейкінг-токени.
28 травня компанія з безпеки вперше виявила підозрілу активність, пов'язану з протоколом Cork, і випустила попередження. Потім офіційний представник протоколу Cork підтвердив, що стався інцидент безпеки, та призупинив усі ринкові торги, щоб запобігти розширенню ризиків.
Після аналізу експертів з безпеки, основна причина атаки полягає в двох аспектах:
Cork дозволяє користувачам створювати ринок з будь-яким активом як активом викупу (RA), що дозволяє зловмисникам використовувати DS( для відключення токенів ) як RA.
Будь-який користувач може без авторизації викликати ключові функції контракту та передавати власні дані для виконання операцій, що дозволяє зловмисникам контролювати токени DS на легітимному ринку.
Зловмисники, створюючи спеціальні ринки, маніпулюючи ліквіднісними пулами та використовуючи вразливості протоколу, успішно перенесли ліквідність DS з легального ринку на інший ринок для викупу як RA, викравши значні кошти.
Згідно з аналізом в ланцюзі, атакуючий отримав прибуток близько 3,761.878 wstETH, що становить понад 12 мільйонів доларів США. Після цього атакуючий обміняв ці токени на 4,527 ETH. Наразі понад 4,530 ETH все ще залишаються на адресі атакуючого.
Ця подія ще раз нагадує розробникам DeFi проектів, що при проектуванні протоколу необхідно ретельно перевіряти, чи відповідає кожен крок очікуванням, і суворо обмежувати типи активів на ринку. Одночасно, користувачі, беручи участь у нових DeFi проектах, також повинні бути обережними і звертати увагу на безпеку своїх коштів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
19 лайків
Нагородити
19
7
Репост
Поділіться
Прокоментувати
0/400
ChainComedian
· 07-28 07:44
Знову відправили гроші хакеру...
Переглянути оригіналвідповісти на0
ClassicDumpster
· 07-27 20:33
Знову невдахи були обдурені?
Переглянути оригіналвідповісти на0
TokenomicsTrapper
· 07-25 11:14
назвав це... ще один класичний випадок недбалого контролю доступу. спостерігати за цими експлуатаціями краще ніж Netflix, чесно кажучи
Переглянути оригіналвідповісти на0
NewDAOdreamer
· 07-25 11:13
Ще один проект невдах для тестування жертв
Переглянути оригіналвідповісти на0
gas_guzzler
· 07-25 10:54
Чи безпечно? Ще один rug
Переглянути оригіналвідповісти на0
LiquidityWitch
· 07-25 10:51
ще одна душа, принесена в жертву темним пулом... бачив ознаки ліквідності на графіках, але ніхто не слухав, смх
Переглянути оригіналвідповісти на0
FloorSweeper
· 07-25 10:45
Знову наступаю на ті ж граблі, хто ще в це вірить!
Cork зазнав атаки хакера, втрати перевищили 1200万美元 ETH
Протокол Cork зазнав атаки, збитки перевищили 10 мільйонів доларів
Нещодавно децентралізований фінансовий проект під назвою Cork Protocol став жертвою хакерської атаки, внаслідок якої втратили понад 12 мільйонів доларів. Цей проект має на меті забезпечити функціональність, подібну до кредитних дефолтних свопів (CDS) у традиційному фінансуванні, спеціально для хеджування ризиків девальвації активів, таких як стейблкоїни та ліквідні стейкінг-токени.
28 травня компанія з безпеки вперше виявила підозрілу активність, пов'язану з протоколом Cork, і випустила попередження. Потім офіційний представник протоколу Cork підтвердив, що стався інцидент безпеки, та призупинив усі ринкові торги, щоб запобігти розширенню ризиків.
Після аналізу експертів з безпеки, основна причина атаки полягає в двох аспектах:
Cork дозволяє користувачам створювати ринок з будь-яким активом як активом викупу (RA), що дозволяє зловмисникам використовувати DS( для відключення токенів ) як RA.
Будь-який користувач може без авторизації викликати ключові функції контракту та передавати власні дані для виконання операцій, що дозволяє зловмисникам контролювати токени DS на легітимному ринку.
Зловмисники, створюючи спеціальні ринки, маніпулюючи ліквіднісними пулами та використовуючи вразливості протоколу, успішно перенесли ліквідність DS з легального ринку на інший ринок для викупу як RA, викравши значні кошти.
Згідно з аналізом в ланцюзі, атакуючий отримав прибуток близько 3,761.878 wstETH, що становить понад 12 мільйонів доларів США. Після цього атакуючий обміняв ці токени на 4,527 ETH. Наразі понад 4,530 ETH все ще залишаються на адресі атакуючого.
Ця подія ще раз нагадує розробникам DeFi проектів, що при проектуванні протоколу необхідно ретельно перевіряти, чи відповідає кожен крок очікуванням, і суворо обмежувати типи активів на ринку. Одночасно, користувачі, беручи участь у нових DeFi проектах, також повинні бути обережними і звертати увагу на безпеку своїх коштів.