Nền tảng DeFi Cork Protocol đã mất khoảng 12 triệu USD do kẻ tấn công khai thác lỗ hổng bảo mật, buộc dự án phải tạm dừng toàn bộ smart contract để điều tra.
Một vụ tấn công lớn đã xảy ra với Cork Protocol vào thứ Tư, khiến nền tảng DeFi này mất khoảng 12 triệu USD dưới dạng wrapped staked ETH (wstETH). Kẻ tấn công đã rút được 3.761,87 wstETH thông qua một smart contract độc hại.
Theo phân tích từ các chuyên gia bảo mật tại Cyvers, hacker đã sử dụng contract có mã độc để chiếm đoạt số tiền lớn từ giao thức. Tính đến thời điểm hiện tại, kẻ tấn công mới chỉ hoán đổi số tiền đánh cắp thành ETH và chưa phân tán sang nhiều ví khác nhau như thường thấy ở các vụ hack onchain.
Phil Fogel, nhà sáng lập Cork Protocol, đã xác nhận sự việc và cho biết đội ngũ đang tiến hành điều tra nguyên nhân. “Chúng tôi đang điều tra một cuộc tấn công tiềm ẩn trên Cork Protocol và tạm dừng tất cả các contract”, Fogel viết trên nền tảng X. “Chúng tôi sẽ báo cáo lại với thông tin chi tiết hơn”.
🚨ALERT🚨Our system has identified a $12M smart contract exploit, with @CorkProtocol potentially the victims.
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) May 28, 2025
A malicious contract was deployed on May 28, 2025 at 11:23:19 UTC by an address funded by 0x4771…762B (likely a service provider).
Just 16 minutes and 45 seconds… pic.twitter.com/72ScizbJPZ
Cork Protocol được ra mắt vào tháng 3 năm nay, giới thiệu một primitive DeFi mới – giao dịch rủi ro liên quan đến các sự kiện depeg. Nền tảng này cho phép người dùng đầu cơ về sự chênh lệch giữa giá trị dự định của một tài sản và giá spot thời gian thực của nó.
Dự án này nhắm đến việc tạo ra một thị trường cho các rủi ro liên quan đến tài sản được gắn chốt như stablecoin. Người dùng có thể giao dịch và phòng ngừa rủi ro khi các tài sản này mất chốt giá trị.
Cork Protocol đã nhận được đầu tư từ các quỹ lớn bao gồm a16z Crypto, OrangeDAO và Steakhouse Financial vào tháng 9 năm 2024, theo báo cáo từ Chainwire. Ngoài ra, dự án còn tham gia cohort CSX Fall 2024 của a16z Crypto, cho thấy tiềm năng được đánh giá cao từ những nhà đầu tư hàng đầu.
Việc tạm dừng tất cả smart contract cho thấy mức độ nghiêm trọng của vụ việc. Đây là một động thái cần thiết để ngăn chặn thêm thiệt hại trong khi đội ngũ phát triển tìm hiểu nguyên nhân và cách khắc phục lỗ hổng bảo mật.
Sự việc này một lần nữa nhấn mạnh tầm quan trọng của việc kiểm tra bảo mật kỹ lưỡng trong các dự án DeFi. Mặc dù có sự hỗ trợ từ các quỹ đầu tư uy tín, những lỗ hổng trong code vẫn có thể dẫn đến hậu quả nghiêm trọ