Tidlig onsdag morgen identifiserte blokkjede-sikkerhetsfirmaet Cyvers flere unormale transaksjoner på den tverrkjedede utlånsprotokollen til Pike Finance. Cyvers avslørte videre at den mistenkelige transaksjonen resulterte i et betydelig økonomisk tap på omtrent 1,6 millioner dollar.
Den ulovlige aktiviteten ble primært utført på tvers av blokkjedene Ethereum (ETH), Arbitrum (ARB) og Optimism (OP). Inntrengeren utnyttet et personvernfokusert verktøy, Railgun, på Arbitrum for sitt cyberangrep.
Pike Finance ble utnyttet to ganger på tre dager
Kjedeovervåkningsplattformen Certik sporet raskt angrepets opprinnelse til 30. april. Det avslører at angriperen brukte en metode for å sette inn en scam kode ved å påkalle initialiseringsfunksjonen, som manipulerte Pike Finance sitt smarte kontraktssystem.
“[Angriperen] var i stand til å initialisere Pike Finance-kontrakten, der _isActive-variabelen er satt til angriperens adresse. Angriperen kunne deretter bruke privilegiet til å kalle kontraktens “upgradeToAndCall”-funksjon og endre implementeringen til en som de hadde opprettet. De kunne deretter tømme kontraktens eiendeler”, sier CertiKs representant til BeInCrypto.
Les mer om dette: De fem største feilene i kryptosikkerhet og hvordan du unngår dem
Etter varslene utstedte Pike Finance til slutt en uttalelse som beskriver utnyttelsen og dens konsekvenser over sin offisielle X-konto. Protokollen hevdet et tap på 99,970.48 ARB, 64,126 OP og 479,39 ETH fra hendelsen.
I følge den detaljerte oversikten gitt av selskapet oppgraderte angriperen de talte kontraktene under et tidligere kompromittert rammeverk. De utnyttet deretter smartkontraktens feiljusterte lagringskartlegging.
“Som et resultat var angriperne deretter i stand til å oppgradere spoke-kontraktene, omgå administratortilgang og ta ut midler,” skrev Pike Finance-teamet.
Pike Finance fremhevet også sin forpliktelse til å undersøke bruddet videre. I tillegg tilbyr de en belønning på 20 % for all informasjon som kan føre til at de stjålne verdiene blir gjenfunnet. De vil også diskutere og kunngjøre planer for å kompensere berørte brukere.
Den nylige utnyttelsen har en forbindelse til en sårbarhet i USD Coin (USDC) -uttaket 26. april. Pike Finance erkjente at sårbarheten skyldes “svake sikkerhetstiltak i funksjoner som håndterer USDC-overføringer via CCTP-protokollen. Det ble funnet en kritisk feil i funksjonene som var ment for å brenne USDC på en kildekjede og preging på en målkjede, som ble automatisert av Gelatos tjenester.
Les mer om dette: De 10 beste tipsene du må ha om kryptovalutasikkerhet
“Utilstrekkelig beskyttelse av denne funksjonen gjorde det mulig for angripere å manipulere mottakerens adresse og beløp, som ble behandlet av Pike-protokollen som gyldige”, uttalte Pike Finance i et post-mortem-innlegg.
Utnyttelsen førte til tap av 299,127 USDC, og påvirket tre nettverk – Ethereum, Arbitrum og Optimism. Selskapet hevdet imidlertid at hendelsen bare påvirket USDC-aktiva, og at alle andre aktiva er trygge.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
