Compass Investments

– Pike Finance’in akıllı sözleşmesindeki bir güvenlik açığı 1,6 milyon dolarlık zarara yol açtı.

Açık, 26 Nisan’da meydana gelen USDC ile ilgili bir olayın ardından ortaya çıktı.

Pike ekibi bir ödül teklif ediyor ve etkilenen kullanıcıları telafi etmeyi planlıyor.

Çarşamba sabahı erken saatlerde, blockchain güvenlik firması Cyvers, Pike Finance’in zincirler arası borç verme protokolünde birkaç olağandışı işlem tespit etti; Cyvers ayrıca şüpheli işlemlerin yaklaşık 1,6 milyon dolarlık önemli bir mali kayıpla sonuçlandığını bildirdi.

Dolandırıcılık faaliyeti öncelikle Ethereum (ETH), Arbitrum (ARB) ve Optimism (OP) blok zincirlerinde meydana geldi. Siber saldırılarda saldırganlar Arbitrum üzerinde gizlilik odaklı Railgun aracını kullandılar.

Zincir izleme platformu CertiK, 30 Nisan’daki saldırının kaynağını hızla tespit etti. Saldırganın Pike Finance’in akıllı sözleşme sistemini manipüle etmek ve kötü amaçlı kod eklemek için initialise function call yöntemini kullandığını tespit etti.

Saldırgan Pike Finance sözleşmesini başlatabildi ve bu sırada _isActive değişkeni saldırganın adresine ayarlandı. CertiK sözcüsü BeInCrypto’ya yaptığı açıklamada, saldırganın daha sonra bu ayrıcalığı kullanarak sözleşmenin upgradeToAndCall işlevini çağırabildiğini ve uygulamasını kendi yarattığı bir işlevle değiştirebildiğini söyledi.

Uyarının ardından, Pike Finance nihayet resmi X hesabında istismarı ve sonuçlarını detaylandıran bir açıklama yayınladı. Açıklamada, olayın 99.970,48 ARB, 64.126 OP ve 479,39 ETH’lik kayıplara yol açtığı belirtildi.

Pike Finance tarafından sağlanan ayrıntılı bir açıklamaya göre, saldırganlar daha önce ele geçirilmiş bir çerçevenin konuşmacı sözleşmelerini güncellediler. Daha sonra akıllı sözleşmede yanlış bir depolama eşlemesi kullandılar.

Sonuç olarak, saldırgan yönetici erişimini atlayabildi, konuşmacı sözleşmesini güncelleyebildi ve fonları çekebildi,” diye yazdı Pike Finance ekibi.

Pike Finance ayrıca hack olayını daha fazla araştırmayı planladığını da belirtti. Şirket ayrıca çalınan fonların kurtarılmasına yardımcı olacak herhangi bir bilgi için yüzde 20 ödül teklif ettiğini de söyledi. Şirket ayrıca etkilenen kullanıcıları tazmin etme planlarını da görüşecek ve duyuracak.

Söz konusu açık, 26 Nisan’da keşfedilen USD Coin (USDC) para çekme sistemindeki bir güvenlik açığı ile ilgilidir. Pike Finance, güvenlik açığının “CCTP protokolü aracılığıyla USDC transferlerini yöneten işlevselliğin güvenlik önlemlerindeki bir zayıflıkla ilgili olduğunu” kabul etti. Kritik kusur, USDC’leri kaynak zincirde yakmak ve Gelato hizmeti tarafından otomatikleştirilen hedef zincirde madencilik yapmak için tasarlanmış bir işlevde bulundu.

Bu işlevdeki yetersiz güvenlik, bir saldırganın Pike protokolünün geçerli kabul ettiği alıcı adreslerini ve miktarlarını manipüle etmesine izin verdi.”