Cork Protocol, Hacker saldırısına uğradı, kayıp 10 milyon doları aştı

28 Mayıs'ta, merkeziyetsiz finans platformu bir Hacker saldırısına uğradı ve 12 milyon dolardan fazla fon kaybı yaşandı. Bu olay, DeFi projelerinin güvenlik açısından hala açıklar barındırdığını vurguluyor.

Olayın meydana geldiği gün, bir güvenlik şirketi, platformla ilgili şüpheli etkinlikleri ilk olarak tespit etti ve bir güvenlik uyarısı yayımladı. Ardından, platformun resmi açıklamasıyla, wstETH:weETH pazarında bir güvenlik olayı meydana geldiği bildirildi ve riskin yayılmasını önlemek için platform, diğer tüm piyasa işlemlerini durdurdu.

Bu platform, DeFi ekosistemine, geleneksel finansal kredi temerrüt takası (CDS) gibi işlevler sunmayı amaçlamaktadır; özellikle stabilcoinler, likit staking tokenları gibi sabit varlıkların depeg riskine karşı korunmak için tasarlanmıştır. Kullanıcılar, risk türevlerini ticaret yaparak, stabilcoin veya LST/LRT'nin fiyat dalgalanma riskini piyasa katılımcılarına aktarabilir, böylece riski azaltarak sermaye verimliliğini artırabilirler.

Güvenlik uzmanlarının analizine göre, bu saldırının temel nedenleri iki tanedir:

1. Platform, kullanıcıların (RA)'yi geri alma varlığı olarak herhangi bir varlık kullanarak piyasa oluşturmasına izin verir, bu da saldırganların türev token'ları DS'yi RA olarak kullanmasına olanak tanır.

2. Herhangi bir kullanıcı, bir sözleşmenin belirli bir fonksiyonunu yetki olmadan çağırabilir ve özelleştirilmiş verilerle işlem yapabilir, bu da saldırganların meşru piyasadaki DS'leri başka bir piyasaya RA olarak yatırmasını ve karşılık gelen token'leri almasını sağlar.

Saldırgan öncelikle yasal bir pazardan weETH8CT-2 token'ını satın aldı, ardından weETH8DS-2 token'ını RA olarak ve wstETH'i PA olarak kullanarak yeni bir pazar oluşturarak. Belirli verileri yapılandırarak, saldırgan yasal pazardaki weETH8DS-2 token'ını yeni pazara RA olarak transfer etti ve yeni pazarın karşılık gelen CT ve DS token'larını aldı.

Sonunda, saldırgan elde ettiği tokenleri yeni ve eski iki piyasada bir dizi işlem yapmak için kullandı ve büyük miktarda wstETH tokenini başarıyla çaldı.

Zincir üzerindeki analiz araçlarına göre, saldırgan 3,761.878 wstETH kazandı ve bu, 12 milyon dolardan fazla bir değere sahip. Daha sonra, saldırgan bu wstETH'leri 4,527 ETH'ye dönüştürmek için 8 işlem gerçekleştirdi. Şu anda, yaklaşık 4,530 ETH hala saldırganın adresinde bekliyor.

Bu olay, DeFi projeleri geliştiricilerine protokol tasarımı yaparken her adımın beklentilere uygun olup olmadığını dikkatlice doğrulamaları ve potansiyel güvenlik risklerini önlemek için piyasanın varlık türlerini sıkı bir şekilde sınırlamaları gerektiğini bir kez daha hatırlatıyor. Aynı zamanda, kullanıcıların DeFi projelerine katılırken yüksek bir dikkat göstermeleri ve proje dinamiklerini ve güvenlik uyarılarını sürekli takip etmeleri gerekmektedir.