Tôt mercredi matin, la société de sécurité blockchain Cyvers a identifié plusieurs transactions anormales sur le protocole de prêt inter-chaînes de Pike Finance. Cyvers a en outre révélé que cette transaction suspecte avait entraîné une perte financière substantielle d'environ 1,6 million de dollars.
L'activité illicite a été principalement menée sur les blockchains Ethereum (ETH), Arbitrum (ARB) et Optimism (OP). L'intrus a utilisé un outil axé sur la confidentialité, Railgun, sur Arbitrum pour sa cyberattaque.
Pike Finance a été exploité deux fois en trois jours
La plateforme de surveillance en chaîne CertiK a rapidement retracé l'origine de l'attaque jusqu'au 30 avril. Il révèle que l'attaquant a utilisé une méthode pour injecter du code malveillant en invoquant la fonction d'initialisation, qui a manipulé le système de contrat intelligent de Pike Finance.
« [L'attaquant a réussi à initialiser le contrat Pike Finance, au cours duquel la variable _isActive est définie sur l'adresse de l'attaquant. L'attaquant pourrait alors utiliser ce privilège pour appeler la fonction UpgradeToAndCall du contrat et remplacer l'implémentation par celle créée. Ils ont ensuite pu drainer les actifs du contrat », a déclaré le représentant de CertiK à BeInCrypto.
Lire la suite : Les 5 principales failles de sécurité cryptographique et comment les éviter
Suite aux avertissements, Pike Finance a finalement publié une déclaration détaillant l'exploit et ses répercussions sur son compte X officiel. Le protocole a déclaré une perte de 99 970,48 ARB, 64 126 OP et 479,39 ETH en raison de cet incident.
Selon la ventilation détaillée fournie par Pike Finance, l'attaquant a mis à jour les contrats de rayons dans un contexte précédemment compromis. Ils ont ensuite profité du mappage de stockage mal aligné du contrat intelligent.
"En conséquence, les attaquants ont pu mettre à jour les contrats de rayons, en contournant l'accès administratif et en retirant des fonds", a écrit l'équipe de Pike Finance.
Pike Finance a également souligné son engagement à poursuivre l'enquête sur la violation. De plus, il offre une récompense de 20 % pour toute information permettant de récupérer des biens volés. Il discutera et annoncera également des plans visant à indemniser les utilisateurs concernés.
Le récent exploit est lié à une vulnérabilité dans le retrait de l'USD Coin (USDC) le 26 avril. Pike Finance a reconnu que la vulnérabilité est « due à de faibles mesures de sécurité dans les fonctions qui gèrent les transferts USDC via le protocole CCTP. Une faille critique a été trouvée dans les fonctions conçues pour graver l'USDC sur une chaîne source et frapper sur une destination de la chaîne source, qui a été automatisée. par Gelatoservices.
Lire la suite : Top 10 des conseils indispensables en matière de sécurité cryptographique
"Une protection inadéquate de cette fonctionnalité a permis aux attaquants de manipuler l'adresse et les montants du destinataire, qui étaient considérés comme valides par le protocole Pike", a déclaré Pike Finance dans une autopsie.
L'exploitation a entraîné la perte de 299 127 USDC, affectant trois réseaux : Ethereum, Arbitrum et Optimism. Cependant, Pike Finance a déclaré que l'incident n'affectait que les actifs de l'USDC et que tous les autres actifs étaient en sécurité.
Le poste Pike Finance exploité deux fois en trois jours, plus de 1,6 million de dollars perdus apparaît en premier sur BeInCrypto .