? Eine Sicherheitslücke in Pike Finance wurde innerhalb von drei Tagen zweimal entdeckt, was zu Verlusten von mehr als 1,6 Millionen Dollar führte.
– Eine Sicherheitslücke im Smart Contract von Pike Finance hat zu Verlusten in Höhe von 1,6 Millionen Dollar geführt.
Die Schwachstelle wurde nach einem USDC-bezogenen Vorfall am 26. April entdeckt.
Das Pike-Team hat eine Belohnung ausgesetzt und plant, die betroffenen Nutzer zu entschädigen.
Am frühen Mittwochmorgen stellte das Blockchain-Sicherheitsunternehmen Cyvers mehrere ungewöhnliche Transaktionen im kettenübergreifenden Kreditprotokoll von Pike Finance fest; Cyvers berichtete auch, dass die verdächtigen Transaktionen zu einem erheblichen finanziellen Verlust von etwa 1,6 Millionen US-Dollar führten.
Die betrügerischen Aktivitäten fanden hauptsächlich auf den Blockchains Ethereum (ETH), Arbitrum (ARB) und Optimism (OP) statt. Bei den Cyberangriffen verwendeten die Angreifer das auf den Schutz der Privatsphäre ausgerichtete Tool Railgun auf Arbitrum.
Die Kettenüberwachungsplattform CertiK konnte den Ursprung des Angriffs am 30. April schnell zurückverfolgen. Sie stellte fest, dass der Angreifer die Methode des Initialisierungsfunktionsaufrufs nutzte, um das Smart-Contract-System von Pike Finance zu manipulieren und bösartigen Code einzufügen.
Dem Angreifer gelang es, den Pike Finance-Vertrag zu initialisieren, wobei die Variable _isActive auf die Adresse des Angreifers gesetzt wurde. Der Angreifer war dann in der Lage, dieses Privileg zu nutzen, um die Funktion upgradeToAndCall des Vertrags aufzurufen und dessen Implementierung in eine von ihm erstellte zu ändern, so ein CertiK-Sprecher gegenüber BeInCrypto.
Nach der Warnung veröffentlichte Pike Finance schließlich eine Erklärung auf seinem offiziellen X-Account, in der die Sicherheitslücke und ihre Auswirkungen ausführlich beschrieben wurden. Der Erklärung zufolge führte der Vorfall zu Verlusten von 99.970,48 ARB, 64.126 OP und 479,39 ETH.
Laut einer detaillierten Beschreibung von Pike Finance aktualisierten die Angreifer die Sprecherverträge eines zuvor kompromittierten Frameworks. Anschließend verwendeten sie eine falsche Speicherzuordnung im Smart Contract.
Infolgedessen war der Angreifer in der Lage, den Admin-Zugang zu umgehen, den Sprechervertrag zu aktualisieren und Gelder abzuheben”, schrieb das Pike Finance-Team.
Pike Finance sagte auch, dass es beabsichtigt, den Hack weiter zu untersuchen. Das Unternehmen hat außerdem eine Belohnung von 20 Prozent für Informationen ausgesetzt, die zur Wiederbeschaffung der gestohlenen Gelder beitragen. Das Unternehmen wird auch Pläne zur Entschädigung der betroffenen Nutzer diskutieren und bekannt geben.
Die Sicherheitslücke steht im Zusammenhang mit einer Schwachstelle im USD Coin (USDC) Abhebungssystem, die am 26. April entdeckt wurde. Pike Finance bestätigte, dass die Schwachstelle “mit einer Schwachstelle in den Sicherheitsmaßnahmen der Funktion zusammenhängt, die USDC-Transfers über das CCTP-Protokoll verwaltet.” Die kritische Schwachstelle wurde in einer Funktion gefunden, die dazu dient, USDCs auf der Quellkette zu verbrennen und auf der Zielkette zu minen, was durch den Gelato-Dienst automatisiert wurde.
Unzureichende Sicherheitsmaßnahmen in dieser Funktion ermöglichten es einem Angreifer, Empfängeradressen und Beträge zu manipulieren, die das Pike-Protokoll als gültig ansah”, so Pike Finance in einer Erklärung.””
Bitcoin 
Ethereum