Tidligt onsdag morgen identificerede blockchain-sikkerhedsfirmaet Cyvers flere unormale transaktioner på Pike Finances udlånsprotokol på tværs af kæderne. Cyvers afslørede desuden, at denne mistænkelige transaktion resulterede i et betydeligt økonomisk tab på ca. 1,6 millioner dollars.
Den ulovlige aktivitet blev primært udført på tværs af Ethereum (ETH), Arbitrum (ARB) og Optimism (OP) blockchains. Indtrængeren udnyttede et privatlivsfokuseret værktøj, Railgun, på Arbitrum til deres cyberangreb.
Pike Finance blev udnyttet to gange på tre dage
On-chain overvågningsplatformen Certik sporede hurtigt angrebets oprindelse til 30. april. Det afslører, at angriberen brugte en metode til at indsætte en ondsindet kode ved at påkalde initialiseringsfunktionen, som manipulerede Pike Finance’ smarte kontraktsystem.
“[Angriberen] var i stand til at initialisere Pike Finance’ kontrakt, hvor _isActive-variablen sættes til angriberens adresse. Angriberen kunne derefter bruge dette privilegium til at kalde kontraktens upgradeToAndCall-funktion og ændre implementeringen til en, som de havde oprettet. De var derefter i stand til at tømme kontraktens aktiver,” sagde Certik’s repræsentant til BeInCrypto.
Læs mere om dette: Top 5 fejl i kryptosikkerhed og hvordan man undgår dem
Efter advarslerne udsendte Pike Finance endelig en erklæring med detaljer om udnyttelsen og dens konsekvenser over sin officielle X-konto. Protokollen hævdede et tab på 99.970,48 ARB, 64.126 OP og 479,39 ETH fra denne hændelse.
Ifølge den detaljerede opdeling fra Pike Finance opgraderede angriberen de talte kontrakter under en tidligere kompromitteret ramme. Derefter udnyttede de smartkontraktens misaligned storage mapping.
“Som et resultat var angriberne derefter i stand til at opgradere spoke-kontrakterne uden om administratoradgang og hæve penge”, skrev Pike Finance-teamet.
Pike Finance understregede også sin forpligtelse til at undersøge bruddet yderligere. Derudover tilbyder de en belønning på 20 % for alle oplysninger, der fører til genfinding af de stjålne aktiver. De vil også diskutere og offentliggøre planer for at kompensere de berørte brugere.
Den seneste udnyttelse har forbindelse til en sårbarhed i udbetalingen af USD Coin (USDC) den 26. april. Pike Finance erkendte, at sårbarheden “skyldes svage sikkerhedsforanstaltninger i funktioner, der håndterer USDC-overførsler via CCTP-protokollen. Der blev fundet en kritisk fejl i de funktioner, der var beregnet til at brænde USDC i en kildekæde og præge i en målkæde, hvilket blev automatiseret af Gelatos tjenester.
Læs mere her: De 10 bedste sikkerhedstips til kryptovaluta
“Utilstrækkelig beskyttelse af denne funktion gjorde det muligt for angribere at manipulere modtagerens adresse og beløb, som blev behandlet af Pike-protokollen som gyldige,” sagde Pike Finance i et post-mortem-indlæg.
Udnyttelsen medførte et tab på 299.127 USDC og påvirkede tre netværk – Ethereum, Arbitrum og Optimism. Pike Finance hævdede dog, at hændelsen kun påvirkede USDC-aktiver, og at alle andre aktiver er sikre.
Trusted
Disclaimer
Alle oplysninger på vores hjemmeside offentliggøres i god tro og kun til generelle informationsformål. Enhver handling, der foretages af læserne på grundlag af oplysningerne på vores hjemmeside, er udelukkende på egen risiko.
