? Una vulnerabilità di Pike Finance è stata scoperta due volte in tre giorni, causando perdite per oltre 1,6 milioni di dollari.
– Una vulnerabilità nello smart contract di Pike Finance ha provocato perdite per 1,6 milioni di dollari.
L’exploit arriva dopo un incidente legato all’USDC avvenuto il 26 aprile.
Il team di Pike offre una ricompensa e prevede di risarcire gli utenti colpiti.
Mercoledì mattina presto, la società di sicurezza blockchain Cyvers ha identificato diverse transazioni insolite nel protocollo di prestito cross-chain di Pike Finance; Cyvers ha anche riferito che le transazioni sospette hanno provocato una perdita finanziaria significativa di circa 1,6 milioni di dollari.
Le attività fraudolente si sono verificate principalmente sulle blockchain di Ethereum (ETH), Arbitrum (ARB) e Optimism (OP). Negli attacchi informatici, gli aggressori hanno utilizzato lo strumento di privacy Railgun su Arbitrum.
La piattaforma di monitoraggio della catena CertiK ha rintracciato rapidamente l’origine dell’attacco il 30 aprile. Ha scoperto che l’aggressore ha utilizzato il metodo di chiamata di funzione iniziale per manipolare il sistema di smart contract di Pike Finance e inserire codice dannoso.
L’aggressore è stato in grado di inizializzare il contratto di Pike Finance, durante il quale la variabile _isActive è stata impostata sull’indirizzo dell’aggressore. L’aggressore è stato quindi in grado di utilizzare questo privilegio per chiamare la funzione upgradeToAndCall del contratto e cambiarne l’implementazione con una da lui creata, ha dichiarato a BeInCrypto un portavoce di CertiK.
In seguito all’avvertimento, Pike Finance ha finalmente rilasciato una dichiarazione sul suo account X ufficiale, descrivendo in dettaglio l’exploit e le sue implicazioni. La dichiarazione afferma che l’incidente ha causato perdite per 99.970,48 ARB, 64.126 OP e 479,39 ETH.
Secondo una descrizione dettagliata fornita da Pike Finance, gli aggressori hanno aggiornato gli speaker contract di un framework precedentemente compromesso. Hanno quindi utilizzato una mappatura errata dello storage nello smart contract.
Di conseguenza, l’aggressore è stato in grado di bypassare l’accesso dell’amministratore, aggiornare il contratto dell’altoparlante e prelevare fondi”, ha scritto il team di Pike Finance.
Pike Finance ha inoltre dichiarato che intende indagare ulteriormente sull’hack. L’azienda ha inoltre dichiarato di offrire una ricompensa del 20% per qualsiasi informazione che possa aiutare a recuperare i fondi rubati. L’azienda discuterà e annuncerà anche i piani per risarcire gli utenti colpiti.
L’exploit è legato a una vulnerabilità del sistema di prelievo di USD Coin (USDC) scoperta il 26 aprile. Pike Finance ha riconosciuto che la vulnerabilità “riguarda una debolezza nelle misure di sicurezza della funzionalità che gestisce i trasferimenti di USDC tramite il protocollo CCTP”. La falla critica è stata riscontrata in una funzione progettata per bruciare gli USDC sulla catena di origine ed estrarli sulla catena di destinazione, automatizzata dal servizio Gelato.
L’insufficiente sicurezza di questa funzione ha permesso a un aggressore di manipolare gli indirizzi dei destinatari e gli importi che il protocollo Pike riteneva validi”, ha dichiarato Pike Finance in un comunicato””.
Bitcoin 
Ethereum 
Tether 
BNB 
USDC 
XRP 
Solana 
TRON 
Lido Staked Ether 
Figure Heloc