Platforma DeFi Cork traci 13,8 mln dolarów w wstETH; atakujący wykorzystał złośliwy kontrakt.

Platforma finansów zdecentralizowanych (DeFi), Cork Protocol, wstrzymała działalność na jednym ze swoich głównych rynków handlowych po tym, jak w wyniku potencjalnego ataku wyłudzono tysiące tokenów wstETH (wrapped staked Ethereum).

Firma zajmująca się bezpieczeństwem blockchainu, SlowMist, po raz pierwszy zgłosiła incydent 28 maja, wskazując na potencjalną lukę w zabezpieczeniach inteligentnych kontraktów, która umożliwiła atakującemu wypłynięcie 3760 wstETH – wartych kilka milionów dolarów – z pul handlowych protokołu.

Cork Protocol później potwierdził naruszenie, klasyfikując je jako „incydent bezpieczeństwa”, który wpłynął na rynek wstETH:weTH.

Chociaż donoszono, że żadne inne rynki platformy nie zostały dotknięte incydentem, zautomatyzowane systemy handlowe protokołu zostały wstrzymane, a śledztwo w sprawie przyczyny i skali ataku rozpoczęło się.

Złośliwy kontrakt ogołocił konta z tokenów w ciągu 20 minut.

Wstępna analiza firmy Cyvers, zajmującej się bezpieczeństwem blockchain, wskazuje, że atakujący wykorzystał złośliwy inteligentny kontrakt wdrożony za pośrednictwem adresu portfela finansowanego przez 0x4771…762B.

Prawdopodobnym źródłem tych środków jest dostawca usług, taki jak zdecentralizowana giełda, most DeFi lub agregator płynności zintegrowany z protokołem Cork.

Umowa została wykonana zaledwie 16 minut po wpłynięciu środków. Z powodzeniem przekształciła skradziony wstETH w Ethereum, chociaż uzyskane ETH nie zostały jeszcze przeniesione do innych portfeli ani wymienione na stablecoiny.

Szybkość wykorzystania luki w zabezpieczeniach wskazuje na zautomatyzowane exploity, a nie błąd operacyjny popełniony przez człowieka, a atakujący mógł wykorzystać znane biblioteki kodu lub mechanizmy aktualizacji proksy do przeprowadzenia ataku.

Śledztwo trwa, ale widać już szersze konsekwencje.

W chwili pisania tego tekstu protokół Cork Protocol nie opublikował harmonogramu ponownego uruchomienia zawieszonych kontraktów ani przywrócenia salda użytkowników.

Śledczy badają, czy wada pochodziła z kodu źródłowego Corka, czy też z zintegrowanej aplikacji innej firmy.

Do tej pory nie odnotowano żadnych prób odzyskania środków przez "białych hakerów" ani komunikacji z napastnikiem w sieci blockchain.

Chociaż nie zgłoszono utraty środków użytkowników na innych rynkach, incydent ten wywiera presję na protokoły DeFi, które opierają się na mechanizmach tokenów zabezpieczonych.

Wykorzystanie tej luki w zabezpieczeniach rodzi również pytania dotyczące należytej staranności weryfikacji umów inteligentnych, zwłaszcza tych, które wchodzą w interakcje z tokenami restakingowymi i instrumentami pochodnymi w środowisku wysokiego ryzyka.

Ten exploit jest częścią szerszego trendu w 2025 roku, w którym atakujący celują w złożone infrastruktury tokenów, zwłaszcza te związane z płynnym stakingiem.

Te zintegrowane ekosystemy, choć niezbędne do zaawansowanej aktywności DeFi, coraz częściej stają się miejscem występowania luk w zabezpieczeniach ze względu na ich zależność od wielu warstw infrastruktury kontraktów inteligentnych.

Jeśli przyszłe audyty nie ujawnią i nie rozwiążą podstawowej luki w zabezpieczeniach, podobne incydenty mogą nadal występować w protokołach oferujących produkty zabezpieczające przed odchyleniem od parytetu lub inne formy ubezpieczenia tokenów.