Категории
Все монеты
Курсы
Криптобот 💎
Калькулятор
Прогнозы
Отзывы о криптовалютах
Ближайшие аирдропы криптовалют
Обучение арбитражу криптовалют
По странам
На русском языке
Белорусские
Украинские
Американские
Японские
Корейские
Китайские
Турецкие
Казахстанские
Мониторинг обменников
Криптокарты 💎
Приложения для обмена
Другие рейтинги
Инфографика
NFT
DeFi
Мероприятия
Регулирование
Криптопроекты
Безопасность
Институциональные инвесторы
Майнинг
Эксперты
Инвестирование
Интервью
Биткоин
Эфириум
Эксперимент
Купить оборудование для майнинга
Онлайн-калькулятор доходности майнинга
Доходность асиков и цена
Майнинговые компании
Книги про майнинг криптовалют
Индекс страха и жадности
Календарь листинга криптовалют на биржах
Календарь ICO
Рейтинг IDO-площадок
Халвинг Биткоина
Рынок NFT
Академия криптовалют
Телеграм-каналы про криптовалюту
Аккаунты о крипте в Twitter
Вопросы и ответы
Закон
Обратная связь
Редакция
Книга о криптовалюте
Пожаловаться на биржу
Комьюнити
Блоги
Форум
Топ-100 СМИЭксперты Beosin раскрыли схему взлома Cork Protocol и определили ключевые уязвимости
Аналитики компании Beosin опубликовали подробный разбор недавнего взлома Cork Protocol, в результате которого злоумышленники вывели 4530 ETH. Специалисты объяснили бизнес-логику работы платформы и показали, как были использованы уязвимости в смарт-контрактах. Cork Protocol занимается токенизацией рисков отвязки активов от курса, таких как stETH, выпуская несколько видов токенов: Redemption Asset, Pegged Asset, Depeg Swaps и Cover Token.
Согласно отчету Beosin, атакующий создал фиктивный рынок, задействовав существующие токены реального сектора (RWA). Злоумышленник использовал токен weETH8DS-2 как Depeg Swaps в реальном пуле и как Redemption Asset в поддельном. Затем он приобрел Cover Tokens на рынке и активировал уязвимость в функции beforeSwap() контракта CorkHook. Передав вредоносные данные в CorkCall(), хакер принудил систему разделить weETH8DS-2 на фиктивные Depeg Swaps и Cover Tokens, которые снова конвертировались в исходные активы.
Это позволило злоумышленнику перенести ликвидность Depeg Swaps из настоящего пула в фиктивный, а затем обналичить ее в Redemption Assets, фактически выведя средства с реального рынка. Beosin указала на 2 основные уязвимости: отсутствие проверки, используется ли Depeg Swap как Redemption Asset в других пулах, и валидации пользовательских данных, передаваемых в CorkCall.
По сведениям системы Beosin Trace, все украденные средства в объеме 4 530,6 ETH на текущий момент остаются на адресе злоумышленника. Эксперты подчеркнули, что средства пока не перемещались и не отмывались через миксеры или биржи.
Представители Beosin рекомендовали разработчики Cork оперативно внедрить полноценную систему валидации входных данных и ограничить использование Depeg Swaps в роли Redemption Assets внутри одного и того же протокола. Также аналитики отметили важность независимых аудитов и интеграции многоуровневой авторизации для всех функций обмена и вызова внешних контрактов.
Монеты
Обменники
Вход/регистрация
Обучение
Форум