Na manhã de quarta-feira, a empresa de segurança blockchain Cyvers identificou várias transações anômalas no protocolo de empréstimo cross-chain da Pike Finance. Cyvers divulgou ainda que esta transação suspeita resultou em uma perda financeira substancial de aproximadamente US$ 1,6 milhão.
A atividade ilícita foi conduzida principalmente nas blockchains Ethereum (ETH), Arbitrum (ARB) e Optimism (OP). O invasor aproveitou uma ferramenta focada na privacidade, Railgun, no Arbitrum para seu ataque cibernético.
Pike Finance foi explorado duas vezes em três dias
A plataforma de vigilância on-chain CertiK rastreou rapidamente a origem do ataque até 30 de abril. Ele revela que o invasor usou um método para injetar código malicioso invocando a função de inicialização, que manipulou o sistema de contrato inteligente da Pike Finance.
“[O invasor conseguiu inicializar o contrato Pike Finance, durante o qual a variável _isActive é definida para o endereço do invasor. O invasor poderia então usar esse privilégio para chamar a função upgradeToAndCall do contrato e alterar a implementação para a criada. Eles conseguiram drenar os ativos do contrato”, disse o representante da CertiK ao BeInCrypto.
Leia mais: As 5 principais falhas de segurança criptográfica e como evitá-las
Após os avisos, a Pike Finance finalmente divulgou um comunicado detalhando a exploração e suas repercussões em sua conta X oficial. O protocolo declarou uma perda de 99.970,48 ARB, 64.126 OP e 479,39 ETH devido a este incidente.
De acordo com a análise detalhada fornecida pela Pike Finance, o invasor atualizou os contratos do spoke em um contexto previamente comprometido. Eles então aproveitaram o mapeamento de armazenamento desalinhado do contrato inteligente.
“Como resultado, os invasores conseguiram atualizar os contratos falados, contornar o acesso administrativo e sacar fundos”, escreveu a equipe da Pike Finance.
A Pike Finance também sublinhou o seu compromisso em investigar mais a fundo a violação. Além disso, oferece recompensa de 20% por qualquer informação que leve à recuperação de bens roubados. Também discutirá e anunciará planos para compensar os usuários afetados.
A recente exploração está ligada a uma vulnerabilidade na retirada de USD Coin (USDC) em 26 de abril. A Pike Finance reconheceu que a vulnerabilidade se deve "a medidas de segurança fracas em funções que lidam com transferências de USDC através do protocolo CCTP. Uma falha crítica foi encontrada em funções projetadas para queimar USDC em uma cadeia de origem e cunhar em um destino da cadeia de origem, que foi automatizado pelos serviços de Gelato.
Leia mais: As 10 principais dicas de segurança de criptografia obrigatórias
“A proteção inadequada desse recurso permitiu que os invasores manipulassem o endereço e os valores do destinatário, que foram tratados como válidos pelo protocolo Pike”, disse a Pike Finance em uma autópsia.
A exploração resultou na perda de 299.127 USDC, afetando três redes: Ethereum, Arbitrum e Optimism. No entanto, a Pike Finance disse que o incidente afetou apenas os ativos do USDC e que todos os outros ativos estão seguros.
O artigo Pike Finance foi explorada duas vezes em três dias, mais de US$ 1,6 milhão perdido foi visto pela primeira vez em BeInCrypto .