La piattaforma DeFi Cork perde 13,8 milioni di dollari in wstETH; l'attaccante ha utilizzato un contratto malevolo.

La piattaforma di finanza decentralizzata (DeFi) Cork Protocol ha sospeso le operazioni su uno dei suoi mercati di scambio principali dopo un presunto exploit che ha sottratto migliaia di token Wrapped Staked Ethereum (wstETH).

La società di sicurezza blockchain SlowMist ha segnalato per prima l'incidente il 28 maggio, citando una potenziale vulnerabilità del contratto intelligente che ha permesso a un attaccante di sottrarre 3.760 wstETH, del valore di milioni di dollari, dalle pool di trading del protocollo.

Cork Protocol ha successivamente confermato la violazione, classificandola come un "incidente di sicurezza" che ha avuto un impatto sul mercato wstETH:weTH.

Sebbene non siano stati segnalati altri mercati della piattaforma interessati, i sistemi di trading automatizzati del protocollo sono stati sospesi mentre si iniziavano le indagini sulla causa e sull'entità dello sfruttamento.

Un contratto malizioso ha svuotato i token in meno di 20 minuti.

L'analisi preliminare effettuata da Cyvers, una società di sicurezza blockchain, indica che l'attaccante ha utilizzato un contratto intelligente dannoso implementato tramite un indirizzo di wallet finanziato da 0x4771…762B.

L'origine di questi fondi è probabilmente un fornitore di servizi come un exchange decentralizzato, un ponte DeFi o un aggregatore di liquidità integrato con Cork Protocol.

Il contratto è stato eseguito appena 16 minuti dopo il finanziamento. Ha convertito con successo il wstETH rubato in Ethereum, sebbene l'ETH risultante non sia ancora stato trasferito ad altri wallet o scambiato con stablecoin.

La rapidità dello sfruttamento della vulnerabilità suggerisce che si tratti di vulnerabilità automatiche dei contratti piuttosto che di errori operativi umani, e l'attaccante potrebbe aver fatto affidamento su librerie di codice note o meccanismi di aggiornamento proxy per lanciare l'attacco.

Le indagini sono in corso, ma si profilano implicazioni più ampie.

Al momento della stesura di questo articolo, Cork Protocol non ha ancora pubblicato una tempistica per la riapertura dei contratti sospesi o il ripristino dei saldi utente interessati.

Gli investigatori stanno lavorando per determinare se il difetto abbia avuto origine nel codice sorgente di Cork o attraverso un'applicazione di terze parti integrata.

Finora, non sono stati segnalati tentativi di recupero da parte di esperti di sicurezza informatica o comunicazioni sulla catena di blocco da parte dell'attaccante.

Sebbene non siano stati segnalati fondi utente persi in altri mercati, l'incidente mette sotto pressione i protocolli DeFi che si basano su meccanismi di token avvolti.

L'exploit solleva inoltre interrogativi sulla diligenza dovuta svolta sui contratti intelligenti, in particolare quelli che interagiscono con token e derivati di restaking in un ambiente ad alto rischio.

Questo exploit fa parte di una tendenza più ampia del 2025, in cui gli aggressori prendono di mira infrastrutture di token complesse, in particolare quelle legate allo staking liquido.

Questi ecosistemi "wrappati", pur essendo essenziali per le attività DeFi avanzate, stanno diventando sempre più bersagli vulnerabili a causa della loro dipendenza da più livelli di infrastruttura di contratti intelligenti.

Se le future verifiche non riveleranno e non risolveranno la vulnerabilità sottostante, incidenti simili potrebbero continuare a verificarsi nei protocolli che offrono prodotti di copertura contro la disancorazione o altre forme di assicurazione dei token.