Cork Protocol遭受攻击，损失超千万美元

近日，一个名为Cork Protocol的去中心化金融项目遭受黑客攻击，损失超过1200万美元。该项目旨在为DeFi生态提供类似传统金融中信用违约掉期(CDS)的功能，专门用于对冲稳定币、流动性质押代币等资产的脱锚风险。

5月28日，一家安全公司首先发现了与Cork Protocol相关的可疑活动并发出警告。随后，Cork Protocol官方确认发生安全事件，并暂停了所有市场交易以防止风险扩大。

经过安全专家分析，此次攻击的根本原因在于两个方面：

1. Cork允许用户创建以任意资产作为赎回资产(RA)的市场，使攻击者可以将DS(脱锚掉期)代币作为RA使用。

2. 任何用户都可以无需授权调用关键合约函数，并传入自定义数据进行操作，使攻击者能够操控合法市场中的DS代币。

攻击者通过创建特殊市场、操纵流动性池和利用协议漏洞，成功将合法市场的DS流动性转移到另一市场作为RA进行赎回，从而窃取了大量资金。

根据链上分析，攻击者获利约3,761.878个wstETH，价值超1200万美元。随后，攻击者将这些代币兑换成了4,527个ETH。目前，超过4,530个ETH仍停留在攻击者地址上。

这次事件再次提醒DeFi项目开发者，在设计协议时必须严格验证每一步操作是否符合预期，并对市场的资产类型进行严格限制。同时，用户在参与新兴DeFi项目时也应保持警惕，注意资金安全。