Разработчики Cork Protocol раскрыли детали эксплойта платформы

Разработчики Cork Protocol официально подтвердили факт эксплойта, произошедшего 28 мая 2025 года. По их данным, в результате атаки с платформы было выведено 3 761 wstETH из пула ликвидности на рынке wstETH:weETH. Команда опубликовала подробный разбор инцидента, описав сразу 2 сложных момента, использованных злоумышленниками. Первый из них позволил хакеру изменить ценообразование на этапе rollover, купив Cover Tokens по цене всего 0,000002 wstETH.

Второй вектор атаки оказался еще более технически изощренным. Злоумышленник развернул вредоносный контракт-хук, который обошел авторизационную проверку в Cork Hook и FlashSwapRouter. Это позволило ему вывести активы, замаскированные под Depeg Swaps. Причиной уязвимости стала устаревшая версия вспомогательного контракта Uniswap V4, которую использовала платформа. В более свежем релизе разработчики уже внедрили дополнительную авторизационную проверку, однако она еще не была интегрирована в код.

На момент атаки совокупный капитал в 5 Liquidity Vaults Cork Protocol составлял $32 млн. Протокол работал в публичной бета-сети с 4 марта 2025 года, предлагая инструменты для хеджирования ценовых рисков. Команда заверила, что немедленно приступила к безопасной перезагрузке и планирует открыть вывод средств для LP. Также начата работа по отслеживанию украденных активов и поиску способов их возврата.

Разработчики планируют усилить внутренние проверки безопасности, в том числе при интеграции внешних библиотек и контрактов. В ближайшее время команда представит план по усилению защиты и улучшению инфраструктуры автоматизации ликвидности.

Эксплойт стал первым крупным инцидентом для Cork Protocol с момента запуска. Платформа продолжит работу над развитием DeFi-инструментов для страхования и стабильности цен.

Автор

Петр Иванов