Tidigt på onsdag morgon identifierade blockchain-säkerhetsföretaget Cyvers flera avvikande transaktioner på Pike Finance utlåningsprotokoll över hela kedjan. Cyvers avslöjade vidare att denna misstänkta transaktion resulterade i en betydande ekonomisk förlust på cirka 1,6 miljoner dollar.
Den olagliga aktiviteten genomfördes främst över blockkedjorna Ethereum (ETH), Arbitrum (ARB) och Optimism (OP). Inkräktaren utnyttjade ett integritetsfokuserat verktyg, Railgun, på Arbitrum för sin cyberattack.
Pike Finance drabbades av exploateringar två gånger på tre dagar
On-chain övervakningsplattform Certik spårade snabbt attackens ursprung till 30 april. Det avslöjar att angriparen använde en metod för att infoga en skadlig kod genom att åberopa initialiseringsfunktionen, som manipulerade Pike Finance smarta kontraktssystem.
“[Angriparen] kunde initiera Pike Finance kontrakt, under vilket _isActive-variabeln ställs in till angriparens adress. Angriparen kunde sedan använda detta privilegium för att anropa kontraktets upgradeToAndCall-funktion och ändra implementeringen till en som de hade skapat. De kunde sedan tömma kontraktets tillgångar”, säger Certik’s representant till BeInCrypto.
Läs mer om detta: Topp 5 brister i kryptosäkerhet och hur man undviker dem
Efter varningarna utfärdade Pike Finance slutligen ett uttalande som beskriver exploateringen och dess återverkningar över sitt officiella X-konto. Protokollet hävdade en förlust på 99 970,48 64,126 ARB, 479,39 OP och XNUMX XNUMX ETH från denna incident.
Enligt den detaljerade uppdelningen som tillhandahålls av Pike Finance uppgraderade angriparen de talade kontrakten under ett tidigare komprometterat ramverk. De utnyttjade sedan det smarta kontraktets felinriktade lagringsmappning.
“Som ett resultat kunde angripare sedan uppgradera de talade kontrakten, kringgå adminåtkomst och ta ut pengar”, skrev Pike Finance-teamet.
Pike Finance betonade också sitt åtagande att undersöka överträdelsen ytterligare. Dessutom erbjuder den en belöning på 20% för all information som leder till att de stulna tillgångarna återvinns. Det kommer också att diskutera och tillkännage planer för att kompensera drabbade användare.
Den senaste exploateringen har en koppling till en sårbarhet i dess USD Coin (USDC) -uttag den 26 april. Pike Finance erkände att sårbarheten beror på “svaga säkerhetsåtgärder i funktioner som hanterar USDC-överföringar via CCTP-protokollet. Ett kritiskt fel hittades i funktionerna avsedda för att bränna USDC på en källkedja och prägla på en målkedja, som automatiserades av Gelatos tjänster.
Läs mer på engelska: Topp 10 måste ha säkerhetstips för kryptovaluta
“Otillräckligt skydd av denna funktion gjorde det möjligt för angripare att manipulera mottagarens adress och belopp, som behandlades av Pike-protokollet som giltiga”, uppgav Pike Finance i ett post-mortem-inlägg.
Exploateringen såg förlusten av 299 127 USDC, vilket påverkade tre nätverk – Ethereum, Arbitrum och Optimism. Pike Finance hävdade dock att incidenten endast påverkade USDC-tillgångar och att alla andra tillgångar är säkra.
Trusted
Disclaimer
All information på vår webbplats publiceras i god tro och endast för allmän information. Varje åtgärd som läsaren vidtar baserat på informationen på vår webbplats sker strikt på egen risk.
