Cork Protocol遭受攻擊，損失超千萬美元

近日，一個名爲Cork Protocol的去中心化金融項目遭受黑客攻擊，損失超過1200萬美元。該項目旨在爲DeFi生態提供類似傳統金融中信用違約掉期(CDS)的功能，專門用於對沖穩定幣、流動性質押代幣等資產的脫錨風險。

5月28日，一家安全公司首先發現了與Cork Protocol相關的可疑活動並發出警告。隨後，Cork Protocol官方確認發生安全事件，並暫停了所有市場交易以防止風險擴大。

經過安全專家分析，此次攻擊的根本原因在於兩個方面：

1. Cork允許用戶創建以任意資產作爲贖回資產(RA)的市場，使攻擊者可以將DS(脫錨掉期)代幣作爲RA使用。

2. 任何用戶都可以無需授權調用關鍵合約函數，並傳入自定義數據進行操作，使攻擊者能夠操控合法市場中的DS代幣。

攻擊者通過創建特殊市場、操縱流動性池和利用協議漏洞，成功將合法市場的DS流動性轉移到另一市場作爲RA進行贖回，從而竊取了大量資金。

根據鏈上分析，攻擊者獲利約3,761.878個wstETH，價值超1200萬美元。隨後，攻擊者將這些代幣兌換成了4,527個ETH。目前，超過4,530個ETH仍停留在攻擊者地址上。

這次事件再次提醒DeFi項目開發者，在設計協議時必須嚴格驗證每一步操作是否符合預期，並對市場的資產類型進行嚴格限制。同時，用戶在參與新興DeFi項目時也應保持警惕，注意資金安全。