DeFi-plattformen Cork förlorar 13,8 miljoner dollar i wstETH; angripare använder skadligt kontrakt

Den decentraliserade finansplattformen (DeFi) Cork Protocol har pausat verksamheten på en av sina kärnmarknader efter att ett uppenbart utnyttjande dränerat tusentals inslagna stakade Ethereum (wstETH)-tokens.

Blockkedjesäkerhetsföretaget SlowMist rapporterade först om händelsen den 28 maj och hänvisade till en potentiell sårbarhet för smarta kontrakt som gjorde det möjligt för en angripare att suga ut 3 760 wstETH – värderade till miljontals dollar – från protokollets handelspooler.

Cork Protocol bekräftade senare dataintrånget och kategoriserade det som en "säkerhetsincident" som påverkade wstETH:weTH-marknaden.

Även om inga andra plattformsmarknader enligt uppgift påverkades, pausades protokollets automatiserade handelssystem när utredningar inleddes om orsaken och omfattningen av exploateringen.

Skadligt kontrakt tömde tokens på under 20 minuter

Preliminär analys av Cyvers, ett blockkedjesäkerhetsföretag, tyder på att angriparen använde ett skadligt smart kontrakt som distribuerades via en plånboksadress finansierad av 0x4771…762B.

Ursprunget för dessa medel är sannolikt en tjänsteleverantör såsom en decentraliserad börs, DeFi-brygga eller likviditetsaggregator integrerad med Cork Protocol.

Kontraktet undertecknades bara 16 minuter efter finansiering. Det konverterade framgångsrikt stulen wstETH till Ethereum, även om den resulterande ETH ännu inte har flyttats till andra plånböcker eller bytts mot stablecoins.

Hastigheten på attacken tyder på automatiserade kontraktssårbarheter snarare än mänskliga operativa fel, och angriparen kan ha förlitat sig på kända kodbibliotek eller proxyuppgraderingsmekanismer för att starta attacken.

Utredningar pågår, men bredare konsekvenser hotar

I skrivande stund har Cork Protocol inte utfärdat någon tidslinje för att öppna sina pausade kontrakt igen eller återställa berörda användarsaldon.

Utredare arbetar för att fastställa om felet har sitt ursprung i Corks egen kodbas eller genom en integrerad tredjepartsapplikation.

Hittills har inga white-hat-återställningsförsök eller kommunikation i kedjan från angriparen rapporterats.

Även om inga användarmedel på andra marknader har rapporterats förlorade, sätter händelsen press på DeFi-protokoll som förlitar sig på inslagna token-mekanismer.

Utnyttjandet väcker också frågor om den due diligence som utförs på smarta kontrakt, särskilt de som interagerar med återinsättning av tokens och derivat i en högriskmiljö.

Utnyttjandet är en del av en bredare trend under 2025 där angripare riktar in sig på komplexa tokeninfrastrukturer, särskilt de som är kopplade till likvid staking.

Dessa inkapslade ekosystem, även om de är avgörande för avancerad DeFi-aktivitet, blir alltmer källor till sårbarheter på grund av deras beroende av flera lager av smart kontraktsinfrastruktur.

Om framtida granskningar inte avslöjar och åtgärdar den underliggande sårbarheten kan liknande incidenter fortsätta över protokoll som erbjuder depeg-hedgingprodukter eller andra former av tokenförsäkring.