? Una vulnerabilidad en Pike Finance se ha descubierto dos veces en tres días, lo que ha provocado pérdidas de más de 1,6 millones de dólares.
– Una vulnerabilidad en el contrato inteligente de Pike Finance ha provocado pérdidas de 1,6 millones de dólares.
El exploit se produce después de un incidente relacionado con USDC que tuvo lugar el 26 de abril.
El equipo de Pike ofrece una recompensa y planea compensar a los usuarios afectados.
El miércoles por la mañana temprano, la empresa de seguridad de blockchain Cyvers identificó varias transacciones inusuales en el protocolo de préstamo entre cadenas de Pike Finance; Cyvers también informó que las transacciones sospechosas resultaron en una pérdida financiera significativa de aproximadamente 1,6 millones de dólares.
La actividad fraudulenta se produjo principalmente en las blockchains Ethereum (ETH), Arbitrum (ARB) y Optimism (OP). En los ciberataques, los atacantes utilizaron la herramienta centrada en la privacidad Railgun en Arbitrum.
La plataforma de monitorización de cadenas CertiK rastreó rápidamente el origen del ataque el 30 de abril. Descubrió que el atacante utilizó el método de llamada a la función de inicialización para manipular el sistema de contratos inteligentes de Pike Finance e insertar código malicioso.
El atacante fue capaz de inicializar el contrato de Pike Finance, durante el cual la variable _isActive se estableció en la dirección del atacante. A continuación, el atacante pudo utilizar este privilegio para llamar a la función upgradeToAndCall del contrato y cambiar su implementación por otra creada por él, según explicó un portavoz de CertiK a BeInCrypto.
Tras la advertencia, Pike Finance publicó finalmente un comunicado en su cuenta oficial X detallando el exploit y sus implicaciones. El comunicado decía que el incidente provocó pérdidas de 99.970,48 ARB, 64.126 OP y 479,39 ETH.
Según una descripción detallada proporcionada por Pike Finance, los atacantes actualizaron los contratos de altavoz de un marco previamente comprometido. A continuación, utilizaron una asignación de almacenamiento incorrecta en el contrato inteligente.
Como resultado, el atacante fue capaz de eludir el acceso de administrador, actualizar el contrato de altavoz y retirar fondos”, escribió el equipo de Pike Finance.
Pike Finance también dijo que tiene la intención de investigar más a fondo el hackeo. La empresa también dijo que ofrece una recompensa del 20% por cualquier información que ayude a recuperar los fondos robados. La empresa también discutirá y anunciará planes para compensar a los usuarios afectados.
El exploit está relacionado con una vulnerabilidad en el sistema de retirada de USD Coin (USDC) descubierta el 26 de abril. Pike Finance reconoció que la vulnerabilidad “está relacionada con una debilidad en las medidas de seguridad de la funcionalidad que gestiona las transferencias de USDC a través del protocolo CCTP”. El fallo crítico se encontró en una función diseñada para quemar USDC en la cadena de origen y minarlos en la cadena de destino, que estaba automatizada por el servicio Gelato.
La insuficiente seguridad de esta función permitía a un atacante manipular las direcciones de los destinatarios y las cantidades que el protocolo de Pike consideraba válidas”, afirma Pike Finance en un comunicado.””
Bitcoin