Corkプロトコルが悪用され、wstETHドレインで1,200万ドルを獲得 - DeFi Hack News 2026

— By Whatsertrade in news

Corkプロトコルが悪用され、wstETHドレインで1,200万ドルを獲得 - DeFi Hack News 2026

Cork Protocol は、悪意のある契約エクスプロイトにより、1,200 万ドル相当の 3,761.87 wstETH を失いました。資金は単一の ETH アドレスに追跡され、移動されていません。メカニズムの完全な内訳、2026 年のハッキングの状況、回復の確率。

デペグリスクのトークン化に焦点を当てたイーサリアムベースのプラットフォームである Cork Protocol は、ラップされたステーク ETH (wstETH) で約 1,200 万ドルを流出しました。攻撃者は悪意のある契約を利用してプロトコルの保管庫から 3,761.87 wstETH を引き出し、その収益をすぐに洗浄することなく生の ETH に統合しました。契約は数時間以内に一時停止された。このエクスプロイトは一連のエクスプロイトの最新のものです。 DeFi 2026 年を特徴づけたセキュリティ障害。

クイックリード

Cork Protocol は、悪意のあるコントラクトを伴うエクスプロイトにより、約 1,200 万ドル相当の wstETH を失いました。プロトコルは被害を抑えるために作戦を一時停止した。盗まれた資金は統合されて移動されずにETHに残り、回収の可能性が残されています。コークは、以下を含む長い 2026 年のリストに加わりました。 昆布DAO (2 億 9,200 万ドル)、ドリフト (2 億 8,000 万ドル)、 ヴェルス、くじら座。

何が起こったのか

Cork Protocol は、攻撃者が悪意のある契約の相互作用を介してプロトコルから 3,761.87 wstETH (実勢価格で約 1,200 万ドル相当) を流出させたことを明らかにしました。このエクスプロイトは数時間以内に阻止され、コークはさらなる損失を防ぐために関連するスマートコントラクトを一時停止しました。盗まれたwstETHはラップが解除されてネイティブETHに変換され、攻撃者が制御する単一のアドレスに統合されました。

最新のオンチェーンチェックの時点では、資金はトルネードキャッシュ、レールガン、またはクロスチェーンブリッジを介して移動されていませんでした。その保持パターンは注目に値します。多くの DeFi エクスプロイトでは、攻撃者は数時間以内に資金洗浄を競います。コークの攻撃者はこれまでのところ、収益をETHに保管しており、コークまたは法執行機関が返還交渉を行うことができれば、少なくとも理論上は回収できる余地が残されている。

Cork は、このエクスプロイトの完全な技術的な事後調査を公開していません。このプロトコルの公開通信により、悪意のある契約パターンと wstETH の引き出しが確認されていますが、正確な脆弱性は公開されていません。このギャップは、ハッキング後、チームがフォレンジックを完了し、開示とのトレードオフを検討するまでの最初の 48 時間に典型的に見られます。

Cork プロトコルが実際に行うこと

Cork は、資産デペグのリスクのトークン化というニッチだが興味深い問題に焦点を当てた比較的若い DeFi プリミティブです。このプロトコルを使用すると、ユーザーは「デペグ スワップ」を売買できます。これは、stETH や USDC などのターゲット資産が、定義されたしきい値を超えて予想ペグから逸脱した場合に支払いが行われる商品です。この構造は、従来の金融におけるクレジット デフォルト スワップに似ています。

これらのスワップをサポートするために、コークは原資産、この場合は wstETH を担保保管庫に保管しています。デペグ イベントがトリガーされた場合、デペグ スワップはそれらのボールトから支払われます。ボールトは、まさにエクスプロイトの対象となった表面です。攻撃者は、悪意のあるコントラクトを通じて対話することにより、対応するデペグ トリガーなしで担保を抽出することができました。

製品自体は概念的には健全です。このエクスプロイトは、実装におけるスマート コントラクトの失敗であり、デペグ スワップ経済モデルの失敗ではありません。この区別は、あらゆる再構築において重要です。チームが脆弱性を明確にし、パッチを適用し、修正を監査し、デポジターと透過的に通信できれば、基盤となる製品はセキュリティ インシデントに耐えることができます。

2026 年のハッキング情勢の中でこれはどこに位置するのか

2026 年は、DeFi セキュリティにとって厳しい年となりました。今年DeFiプロトコルから盗まれた総額はすでに20億ドルを超えている。単一事件としては、北朝鮮の Lazarus Group による 2 億 9,200 万ドルの KelpDAO ブリッジエクスプロイトが依然として最大であり、汚染された RPC 操作によって 116,500 rsETH が流出しました。ドリフト・プロトコルは、ソラナに対するラザロ関連の別の攻撃で2億8000万ドルを失った。 Sui の Cetus プロトコルは、AMM オーバーフローの欠陥により 2 億 2,300 万ドルを失いました。 Verus のイーサリアム ブリッジは 5 月に 5,400 ドル相当の ETH 相当で悪用されました。

コークの 1,200 万ドルはそれに比べれば小さいですが、あるパターンには当てはまります。 2026 年のエクスプロイトのほとんどは、ブリッジ検証の欠陥、オラクルの操作、または徹底的な監査が完了する前に拡張された新しいプロトコルのスマート コントラクト ロジックのバグという 3 つのベクトルのいずれかに由来しています。コルクは 3 番目のカテゴリーに分類されます。プロトコルは新しく、製品は斬新で、攻撃対象領域が非常に複雑であるため、善意のレビュー担当者でもクリティカル パスを見落とす可能性があります。

重要な事実

  • プロトコル: Cork プロトコル、イーサリアムベースのデペグスワップ プラットフォーム
  • 盗まれた金額: 3,761.87 wstETH、約 1,200 万ドル
  • 攻撃方法: ボールトに対する悪意のある契約の相互作用
  • 応答: 契約は一時停止され、資金は単一の ETH アドレスに追跡される
  • 洗濯状況: 資金は移動されておらず、ミキサーやブリッジはまだ使用されていません
  • 2026 年の DeFi コンテキスト: 主要なエクスプロイトにより年初から 20 億ドル以上が盗まれた

市場への影響

wstETH およびより広範なイーサリアムステーキングエコシステムへの直接的な影響は最小限です。 Lido の stETH フロートは 300 億ドルを超えており、ラップされた変種 wstETH も同様の規模で流通しています。 1,200万ドルの抽出は、通常の流動性フローのノイズ帯域内に十分収まります。 Lido 自体は影響を受けません。wstETH は Lido の契約ではなく、Cork の保管庫に保管されていました。

市場全体の反応は鈍かった。 ETH価格はこの開示に対して有意義な反応を示さず、stETHはペッグに忠実に取引を続けた。エクスプロイトの封じ込められた性質と、主要な DeFi プロトコルに比べて Cork の規模が小さいことにより、感染は限定的に保たれました。

Cork の預金者にとって、影響はより直接的です。プロトコルの TVL は現在、盗まれた量だけ低くなり、回復は攻撃者との交渉、または最終的な法執行機関の行動に依存します。チームはまだ、影響を受けたユーザーが国庫から補償されるかどうか、パッチと監査後にプロトコルの運用が再開されるかどうかなどの修復計画を公表していない。

リスクノート

新しい仕組みを備えた若い DeFi プロトコルには、集中的なスマートコントラクトのリスクが伴います。監査されたプロトコルであっても、悪用可能なバグが送り込まれる可能性があります。ユーザーは、初期段階の DeFi プロトコルでのポジションのサイズを控えめに決定し、複数企業の監査とアクティブなバグ報奨金を備えたプロトコルを好み、開始後の最初の 12 ~ 18 か月を、損失の可能性が構造的に上昇する戦闘テストの期間として扱う必要があります。

コンテキスト: 回復に関する質問

Cork エクスプロイトの特徴の 1 つは、盗難後の攻撃者の動作です。資金は混合されずに単一のアドレスに ETH に残ります。このパターンは、搾取者が報奨金と引き換えに資金を返還しようとするホワイトハットまたはグレーハットの活動と一致する場合があります。これは、攻撃者がコンプライアンスへの関心が薄れることを期待して、最初の精査期間を待ってからロンダリングを行っていることとも一致しています。

Cork は、攻撃者とのオンチェーン通信が開始されたかどうかを明らかにしていません。これまでのいくつかの事件では、プロトコルは盗まれた資金の 10% ~ 20% をバグ報奨金として提示し、不訴追契約を結ぶことで返還交渉に成功しました。 2026年初頭のCetus Protocol訴訟は関連する前例である。Cetusは2億2,300万ドルの盗難に対してハッカーに600万ドルの報奨金を提示し、部分的な回収交渉は公にオンチェーンで行われた。

Cork 攻撃者が同様の報奨金協定を受け入れた場合、プロトコルは意味のある資本を回収し、運用を再開する可能性があります。そうでない場合、仮想通貨洗浄ルートに対する法執行機関の注目の高まりにより、2年前に比べて慎重な出口が大幅に困難になっているため、資金は何らかの動きの前に長期間ETHに留まる可能性が高い。

追跡方法

盗まれた wstETH とその ETH 派生物は、複数のオンチェーンフォレンジックアカウントによって公開されている攻撃者の統合アドレスを介して Etherscan で追跡できます。これらの資金、特にミキサーやブリッジへの資金の移動は、回収の可能性が低いことを示す最初のシグナルとなるだろう。

Cork ユーザーにとって、公式プロトコル チャネルが補償または再起動のタイムラインの唯一の情報源です。 DeFiLlama や DexTools などの一般的な DeFi モニタリング サービスは、TVL や取引の回復が実現するたびに反映されます。

追跡先

よくある質問

Cork プロトコルはまだ運用されていますか?

エクスプロイトの時点で操作は一時停止されています。チームはまだ再開スケジュールを発表していない。今後の運用は、脆弱性の修正、監査の完了、影響を受けるユーザーへの補償計画によって決まります。

Lido ユーザーは影響を受けますか?

いいえ。このエクスプロイトにより、Lido の契約内ではなく、Cork の保管庫内に保管されていた wstETH が流出しました。 stETH と wstETH は通常どおり取引を続けており、Lido インフラストラクチャは影響を受けません。

資金は回収できますか?

おそらく。盗まれたETHは、攻撃者が管理する単一のアドレスに残り、まだロンダリング活動は行われていません。回復は交渉、自発的な帰国、または最終的な法執行措置によって異なります。

Cork のエクスプロイトは北朝鮮に関連していましたか?

公的帰属は公表されていません。 2026 年のいくつかの主要な DeFi エクスプロイトは Lazarus Group に関連しているとされていますが、公開報告の時点では Cork は国家支援の攻撃者と関連していません。

これを 2026 年のより大規模なハッキングと比較するとどうですか?

Cork の 1,200 万ドルの損失は、KelpDAO の 2 億 9,200 万ドル、Drift の 2 億 8,000 万ドル、または Cetus の 2 億 2,300 万ドルの事件と比較すると少額です。これは、合計すると、2026 年の 20 億ドル以上の DeFi 損失の大部分を占める中規模の DeFi エクスプロイトの安定したペースに適合します。