? Уязвимость в Pike Finance была обнаружена дважды за три дня, что привело к потерям на сумму более 1,6 миллиона долларов США.
– Уязвимость в смарт-контракте Pike Finance привела к убыткам в размере 1,6 миллиона долларов США.
Эксплойт появился после инцидента, связанного с USDC, который произошел 26 апреля.
Команда Pike предлагает вознаграждение и планирует выплатить компенсацию пострадавшим пользователям.
Рано утром в среду компания Cyvers, специализирующаяся на безопасности блокчейна, выявила несколько необычных транзакций в протоколе межцепочечного кредитования Pike Finance; Cyvers также сообщила, что подозрительные операции привели к значительным финансовым потерям в размере около 1,6 миллиона долларов США.
Мошенническая деятельность происходила в основном на блокчейнах Ethereum (ETH), Arbitrum (ARB) и Optimism (OP). При кибератаках злоумышленники использовали инструмент Railgun, ориентированный на конфиденциальность, на Arbitrum.
Платформа мониторинга цепочек CertiK быстро отследила происхождение атаки 30 апреля. Она обнаружила, что злоумышленник использовал метод вызова функции initialise для манипулирования системой смарт-контрактов Pike Finance и вставки вредоносного кода.
Злоумышленник мог инициализировать контракт Pike Finance, во время чего переменная _isActive устанавливалась на адрес злоумышленника. Затем злоумышленник смог использовать эту привилегию для вызова функции upgradeToAndCall контракта и изменить его реализацию на созданную им, сообщил BeInCrypto представитель CertiK.
После предупреждения Pike Finance наконец выпустила заявление на своем официальном аккаунте X, в котором подробно описала эксплойт и его последствия. В заявлении говорится, что инцидент привел к потерям 99 970,48 ARB, 64 126 OP и 479,39 ETH.
Согласно подробному описанию, предоставленному Pike Finance, злоумышленники обновили контракты на спикеры ранее взломанного фреймворка. Затем они использовали неправильное отображение хранилища в смарт-контракте.
В результате злоумышленник смог обойти доступ администратора, обновить спикер-контракт и вывести средства”, – написала команда Pike Finance.
Pike Finance также заявила, что намерена провести дальнейшее расследование взлома. Компания также заявила, что предлагает 20-процентное вознаграждение за любую информацию, которая поможет вернуть украденные средства. Компания также обсудит и объявит планы по выплате компенсаций пострадавшим пользователям.
Эксплойт связан с уязвимостью в системе вывода USD Coin (USDC), обнаруженной 26 апреля. Pike Finance признала, что уязвимость “связана со слабым местом в мерах безопасности функциональности, которая управляет переводами USDC по протоколу CCTP”. Критический недостаток был обнаружен в функции, предназначенной для сжигания USDC на исходной цепочке и их добычи на целевой цепочке, которая была автоматизирована сервисом Gelato.
Недостаточная защита этой функции позволила злоумышленнику манипулировать адресами получателей и суммами, которые протокол Pike считал действительными”, – говорится в заявлении Pike Finance.”
Bitcoin 
Ethereum 
Tether 
BNB 
USDC 
XRP 
Solana 
TRON 
Lido Staked Ether 
Figure Heloc