Varhain keskiviikkoaamuna blockchain-tietoturvayritys Cyvers tunnisti useita poikkeavia tapahtumia Pike Financen ketjujen välisessä lainausprotokollassa. Cyvers paljasti lisäksi, että tämä epäilyttävä kauppa johti huomattavaan taloudelliseen menetykseen, noin 1.6 miljoonaa dollaria.
Laitonta toimintaa harjoitettiin pääasiassa Ethereum (ETH)-, Arbitrum (ARB)- ja Optimism (OP) -lohkoketjuissa. Tunkeilija hyödynsi yksityisyyteen keskittyvää työkalua, Railgunia, Arbitrumissa kyberhyökkäyksessään.
Pike Finance joutui hyväksikäytön kohteeksi kahdesti kolmen päivän aikana
Ketjun valvonta-alusta CertiK jäljitti nopeasti hyökkäyksen alkuperän 30. huhtikuuta. Se paljastaa, että hyökkääjä käytti menetelmää haitallisen koodin lisäämiseen vetoamalla alustustoimintoon, joka manipuloi Pike Financen älykästä sopimusjärjestelmää.
“[Hyökkääjä] pystyi alustamaan Pike Financen sopimuksen, jonka aikana _isActive-muuttuja asetetaan hyökkääjän osoitteeseen. Hyökkääjä voi sitten käyttää tätä oikeutta kutsuakseen sopimuksia upgradeToAndCall-funktioksi ja muuttaa toteutuksen luomakseen. Sitten he pystyivät tyhjentämään sopimuksen varat”, CertiK: n edustaja kertoi BeInCryptolle.
Lue lisää: Kryptoturvallisuuden 5 parasta puutetta ja niiden välttäminen
Hälytysten jälkeen Pike Finance antoi lopulta lausunnon, jossa kerrottiin yksityiskohtaisesti hyväksikäytöstä ja sen vaikutuksista viralliseen X-tiliinsä. Protokolla väitti menettäneensä 99 970,48 ARB, 64 126 OP ja 479,39 ETH tästä tapauksesta.
Pike Financen toimittaman yksityiskohtaisen erittelyn mukaan hyökkääjä päivitti pinnasopimukset aiemmin vaarantuneen kehyksen mukaisesti. Sitten he hyödynsivät älykkään sopimuksen väärin kohdistettua tallennuskartoitusta.
“Tämän seurauksena hyökkääjät pystyivät sitten päivittämään pinnasopimukset ohittamalla järjestelmänvalvojan oikeudet ja nostamalla varoja”, Pike Finance -tiimi kirjoitti.
Pike Finance korosti myös sitoutumistaan tietomurron tarkempaan tutkintaan. Lisäksi se tarjoaa 20%: n palkkion kaikista tiedoista, jotka johtavat varastetun omaisuuden palauttamiseen. Se keskustelee myös suunnitelmista maksaa korvauksia käyttäjille, joita asia koskee, ja ilmoittaa niistä.
Viimeaikaisella hyväksikäytöllä on yhteys haavoittuvuuteen sen USD Coin (USDC) -nostossa 26. huhtikuuta. Pike Finance myönsi, että haavoittuvuus johtuu “heikoista turvatoimista toiminnoissa, jotka hallinnoivat USDC-siirtoja CCTP-protokollan kautta. Kriittinen puute löytyi toiminnoista, jotka oli tarkoitettu USDC:n polttamiseen lähdeketjussa ja lyömiseen kohdeketjussa, jonka Gelaton palvelut automatisoivat.
Lue lisää: Top 10:llä on oltava kryptovaluuttojen tietoturvavinkkejä
“Tämän toiminnon riittämätön suojaus antoi hyökkääjille mahdollisuuden manipuloida vastaanottajan osoitetta ja määriä, jotka Pike-protokolla käsitteli päteviksi”, Pike Finance totesi kuolemanjälkeisessä viestissä.
Hyväksikäyttö johti 299 127 USDC:n menetykseen, mikä vaikutti kolmeen verkkoon – Ethereumiin, Arbitrumiin ja Optimismiin. Pike Finance väitti kuitenkin, että tapaus vaikutti vain USDC:n varoihin ja kaikki muut varat ovat turvassa.
Trusted
Vastuuvapauslauseke
Kaikki verkkosivustollamme olevat tiedot julkaistaan vilpittömässä mielessä ja ainoastaan yleiseen tiedottamiseen. Lukijan on toimittava verkkosivustomme tietojen perusteella täysin omalla vastuullaan.
