DeFi-platform Cork verliest $13,8 miljoen aan wstETH; aanvaller gebruikt kwaadaardig contract.

Het gedecentraliseerde financiële platform (DeFi) Cork Protocol heeft de activiteiten op een van zijn belangrijkste handelsmarkten stopgezet, nadat een vermeende uitbuiting duizenden wrapped staked Ethereum (wstETH)-tokens had weggekaapt.

Het blockchainbeveiligingsbedrijf SlowMist meldde het incident als eerste op 28 mei, met verwijzing naar een mogelijk zwak punt in het slimme contract dat een aanvaller in staat stelde 3.760 wstETH – ter waarde van miljoenen dollars – uit de handelspools van het protocol te stelen.

Cork Protocol bevestigde de inbreuk later en beschreef het als een "beveiligingsincident" dat de wstETH:weTH-markt trof.

Hoewel naar verluidt geen andere platformmarkten werden getroffen, werden de geautomatiseerde handelssystemen van het protocol stilgelegd toen het onderzoek naar de oorzaak en de omvang van de exploit begon.

Schadelijk contract leegde tokens in minder dan 20 minuten.

Voorlopige analyses van Cyvers, een blockchainbeveiligingsbedrijf, wijzen erop dat de aanvaller een kwaadaardig slim contract heeft gebruikt dat is geïmplementeerd via een walletadres dat is gefinancierd door 0x4771…762B.

De oorsprong van deze fondsen is waarschijnlijk een dienstverlener zoals een gedecentraliseerde beurs, een DeFi-brug of een liquiditeitsaggregator die is geïntegreerd met Cork Protocol.

Het contract werd slechts 16 minuten na de financiering uitgevoerd. Het slaagde erin gestolen wstETH om te zetten in Ethereum, hoewel de resulterende ETH nog niet naar andere wallets is verplaatst of is omgewisseld voor stablecoins.

De snelheid van de exploit wijst op geautomatiseerde contractkwetsbaarheden in plaats van menselijke operationele fouten, en de aanvaller heeft mogelijk gebruik gemaakt van bekende codebibliotheken of proxy-upgrade mechanismen om de aanval te starten.

Onderzoek loopt nog, maar bredere implicaties dreigen.

Op het moment van schrijven heeft Cork Protocol geen tijdlijn bekendgemaakt voor het heropenen van de onderbroken contracten of het herstellen van de aangetaste gebruikersbalansen.

Onderzoekers proberen vast te stellen of het probleem is ontstaan in Cork's eigen code of via een geïntegreerde applicatie van een derde partij.

Tot nu toe zijn er geen pogingen van 'white hat'-hackers om de schade te herstellen of communicatie van de aanvaller op de blockchain gemeld.

Hoewel er geen meldingen zijn van verloren gebruikersfondsen op andere markten, zet het incident DeFi-protocollen die afhankelijk zijn van mechanismen met ingepakte tokens onder druk.

De exploit roept ook vragen op over de zorgvuldigheid die wordt betracht bij slimme contracten, met name die welke interageren met restaking-tokens en derivaten in een risicovolle omgeving.

De exploit is onderdeel van een bredere trend in 2025 waarbij aanvallers zich richten op complexe tokeninfrastructuren, met name die welke verbonden zijn met liquid staking.

Deze 'wrapped' ecosystemen, hoewel essentieel voor geavanceerde DeFi-activiteiten, worden steeds meer een broeinest voor kwetsbaarheden vanwege hun afhankelijkheid van meerdere lagen van slimme contracten-infrastructuur.

Als toekomstige audits de onderliggende kwetsbaarheid niet onthullen en aanpakken, kunnen soortgelijke incidenten blijven voorkomen bij protocollen die producten aanbieden voor het afdekken van depeg-risico's of andere vormen van tokenverzekering.