Mercoledì mattina presto, la società di sicurezza blockchain Cyvers ha identificato diverse transazioni anomale sul protocollo di prestito cross-chain di Pike Finance. Cyvers ha inoltre rivelato che questa transazione sospetta ha comportato una sostanziale perdita finanziaria di circa 1,6 milioni di dollari.
L'attività illecita è stata condotta principalmente sulle blockchain di Ethereum (ETH), Arbitrum (ARB) e Optimism (OP). L'intruso ha sfruttato uno strumento incentrato sulla privacy, Railgun, su Arbitrum per il suo attacco informatico.
La Pike Finance ha subito sfruttamenti due volte in tre giorni
La piattaforma di sorveglianza on-chain CertiK ha rapidamente fatto risalire l'origine dell'attacco al 30 aprile. Rivela che l'aggressore ha utilizzato un metodo per inserire un codice dannoso invocando la funzione di inizializzazione, che ha manipolato il sistema di contratto intelligente di Pike Finance.
“[L'aggressore è riuscito a inizializzare il contratto di Pike Finance, durante il quale la variabile _isActive è impostata sull'indirizzo dell'aggressore. L'aggressore potrebbe quindi utilizzare questo privilegio per chiamare la funzione upgradeToAndCall del contratto e modificare l'implementazione con quella creata. Sono stati quindi in grado di drenare le risorse del contratto", ha detto a BeInCrypto il rappresentante di CertiK.
Per saperne di più: I 5 principali difetti nella sicurezza crittografica e come evitarli
In seguito agli avvisi, Pike Finance ha finalmente rilasciato una dichiarazione in cui descrive dettagliatamente l'exploit e le sue ripercussioni sul suo account X ufficiale. Il protocollo ha dichiarato una perdita di 99.970,48 ARB, 64.126 OP e 479,39 ETH a causa di questo incidente.
Secondo la ripartizione dettagliata fornita da Pike Finance, l’aggressore ha aggiornato i contratti dei raggi in un contesto precedentemente compromesso. Hanno quindi sfruttato la mappatura di archiviazione disallineata del contratto intelligente.
"Di conseguenza, gli aggressori sono stati in grado di aggiornare i contratti dei raggi, aggirando l'accesso amministrativo e prelevando fondi", ha scritto il team di Pike Finance.
Pike Finance ha inoltre sottolineato il proprio impegno a indagare ulteriormente sulla violazione. Inoltre, offre una ricompensa del 20% per qualsiasi informazione che porti al recupero dei beni rubati. Discuterà e annuncerà inoltre i piani per risarcire gli utenti interessati.
Il recente exploit è collegato a una vulnerabilità nel ritiro di USD Coin (USDC) il 26 aprile. Pike Finance ha riconosciuto che la vulnerabilità è "dovuta a misure di sicurezza deboli nelle funzioni che gestiscono i trasferimenti USDC tramite il protocollo CCTP. È stato riscontrato un difetto critico nelle funzioni pensate per bruciare USDC su una catena di origine e coniare su una catena di destinazione, che era automatizzata dai servizi di Gelato.
Per saperne di più: I 10 principali consigli indispensabili per la sicurezza delle criptovalute
"La protezione inadeguata di questa funzione ha consentito agli aggressori di manipolare l'indirizzo e gli importi del destinatario, che sono stati trattati come validi dal protocollo Pike", ha dichiarato Pike Finance in un post autoptico.
Lo sfruttamento ha comportato la perdita di 299.127 USDC, colpendo tre reti: Ethereum, Arbitrum e Optimism. Tuttavia, Pike Finance ha affermato che l’incidente ha interessato solo gli asset dell’USDC e che tutti gli altri asset sono al sicuro.
Il post Pike Finance sfruttato due volte in tre giorni, oltre 1,6 milioni di dollari persi è apparso per la prima volta su BeInCrypto .