Op de vroege woensdagochtend identificeerde blockchain security bedrijf Cyvers verschillende afwijkende transacties op het cross-chain lending protocol van Pike Finance. Cyvers onthulde verder dat deze verdachte transactie resulteerde in een aanzienlijk financieel verlies van ongeveer $1,6 miljoen.
De illegale activiteit werd voornamelijk uitgevoerd op de Ethereum (ETH), Arbitrum (ARB) en Optimism (OP) blockchains. De indringer gebruikte een privacygericht hulpmiddel, Railgun, op Arbitrum voor hun cyberaanval.
Pike Finance tweemaal in drie dagen slachtoffer van uitbuiting
On-chain surveillance platform CertiK traceerde snel de oorsprong van de aanval tot 30 april. Het onthult dat de aanvaller een methode gebruikte om een kwaadaardige code in te voegen door de initialiseerfunctie aan te roepen, waardoor het systeem van smart contracts van Pike Finance werd gemanipuleerd.
“De aanvaller kon het contract van Pike Finance initialiseren, waarbij de variabele _isActive werd ingesteld op het adres van de aanvaller. De aanvaller kon dit privilege vervolgens gebruiken om de upgradeToAndCall-functie van het contract aan te roepen en de implementatie te wijzigen in een implementatie die hij zelf had gemaakt. Vervolgens konden ze de assets van het contract aftappen,” vertelde de vertegenwoordiger van CertiK aan BeInCrypto.
Lees meer: Top 5 Flaws in Crypto Security en hoe ze te vermijden
Na de waarschuwingen, Pike Financiën eindelijk een verklaring waarin de exploit en de gevolgen ervan over haar officiële X-account. Het protocol beweerde een verlies van 99.970,48 ARB, 64.126 OP, en 479,39 ETH van dit incident.
Volgens het gedetailleerde overzicht van Pike Finance heeft de aanvaller de gesproken contracten geüpgraded onder een eerder gecompromitteerd raamwerk. Vervolgens maakten ze misbruik van de verkeerd uitgelijnde opslagmapping van de smart contracts.
“Als gevolg hiervan konden aanvallers de spaakcontracten upgraden, de beheerderstoegang omzeilen en geld opnemen”, schreef het Pike Finance team.
Pike Finance benadrukte ook dat het de inbreuk verder wil onderzoeken. Daarnaast biedt het een beloning van 20% voor alle informatie die leidt tot het terugkrijgen van de gestolen assets. Het zal ook plannen bespreken en aankondigen om getroffen gebruikers te compenseren.
De recente exploit houdt verband met een kwetsbaarheid in de opname van USD Coin (USDC) op 26 april. Pike Finance erkende dat de kwetsbaarheid “te wijten is aan zwakke security maatregelen in functies voor het beheer van USDC overdrachten via CCTP-protocol. Er werd een kritieke fout gevonden in de functies bedoeld voor het verbranden van USDC op een source chain en het slaan op een target chain, wat werd geautomatiseerd door de diensten van Gelato.
Lees meer: Top 10 Must Have Cryptocurrency Security Tips
“Door onvoldoende bescherming van deze functie konden aanvallers het adres en de bedragen van de ontvanger manipuleren, die door het Pike-protocol als geldig werden verwerkt,” verklaarde Pike Finance in een post-mortem bericht.
De uitbuiting leidde tot het verlies van 299.127 USDC en trof drie netwerken: Ethereum, Arbitrum en Optimism. Pike Finance beweerde echter dat het incident alleen USDC assets trof en dat alle andere assets veilig zijn.
Trusted
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
