? Une vulnérabilité de Pike Finance a été découverte deux fois en trois jours, entraînant des pertes de plus de 1,6 million de dollars.
– Une vulnérabilité dans le contrat intelligent de Pike Finance a entraîné des pertes de 1,6 million de dollars.
L’exploit fait suite à un incident lié à l’USDC qui s’est produit le 26 avril.
L’équipe de Pike offre une récompense et prévoit d’indemniser les utilisateurs concernés.
Tôt mercredi matin, la société de sécurité blockchain Cyvers a identifié plusieurs transactions inhabituelles dans le protocole de prêt cross-chain de Pike Finance ; Cyvers a également signalé que les transactions suspectes ont entraîné une perte financière importante d’environ 1,6 million de dollars.
L’activité frauduleuse s’est produite principalement sur les chaînes de blocs Ethereum (ETH), Arbitrum (ARB) et Optimism (OP). Lors des cyberattaques, les attaquants ont utilisé l’outil de protection de la vie privée Railgun sur Arbitrum.
La plateforme de surveillance de la chaîne CertiK a rapidement retracé l’origine de l’attaque le 30 avril. Elle a découvert que l’attaquant avait utilisé la méthode d’appel de fonction d’initialisation pour manipuler le système de contrat intelligent de Pike Finance et y insérer un code malveillant.
L’attaquant a pu initialiser le contrat de Pike Finance, au cours duquel la variable _isActive a été réglée sur l’adresse de l’attaquant. L’attaquant a ensuite pu utiliser ce privilège pour appeler la fonction upgradeToAndCall du contrat et changer son implémentation pour celle qu’il a créée, a déclaré un porte-parole de CertiK à BeInCrypto.
À la suite de cet avertissement, Pike Finance a finalement publié une déclaration sur son compte X officiel, détaillant l’exploit et ses implications. La déclaration indique que l’incident a entraîné des pertes de 99 970,48 ARB, 64 126 OP et 479,39 ETH.
Selon une description détaillée fournie par Pike Finance, les attaquants ont mis à jour les contrats de haut-parleur d’un cadre précédemment compromis. Ils ont ensuite utilisé un mappage de stockage incorrect dans le contrat intelligent.
En conséquence, l’attaquant a été en mesure de contourner l’accès administrateur, de mettre à jour le contrat de conférencier et de retirer des fonds”, a écrit l’équipe de Pike Finance.
Pike Finance a également déclaré qu’elle avait l’intention d’enquêter plus avant sur ce piratage. La société a également indiqué qu’elle offrait une récompense de 20 % pour toute information permettant de récupérer les fonds volés. La société discutera et annoncera également des plans pour indemniser les utilisateurs touchés.
L’exploit est lié à une vulnérabilité du système de retrait des USD Coin (USDC) découverte le 26 avril. Pike Finance a reconnu que la vulnérabilité est “liée à une faiblesse dans les mesures de sécurité de la fonctionnalité qui gère les transferts USDC via le protocole CCTP”. La faille critique a été découverte dans une fonction conçue pour brûler les USDC sur la chaîne source et les miner sur la chaîne cible, qui était automatisée par le service Gelato.
Une sécurité insuffisante dans cette fonction a permis à un attaquant de manipuler les adresses des destinataires et les montants que le protocole Pike a jugés valides”, a déclaré Pike Finance dans un communiqué.
Bitcoin 
Ethereum 
Tether 
BNB 
USDC 
XRP 
Solana 
TRON 
Lido Staked Ether 
Figure Heloc