Vào sáng sớm thứ Tư, công ty bảo mật blockchain Cyvers đã xác định một số giao dịch bất thường trên giao thức cho vay cross-chain của Pike Finance.
Cyvers tiết lộ thêm rằng giao dịch đáng ngờ này đã dẫn đến khoản lỗ tài chính đáng kể khoảng 1.6 triệu USD.
Hoạt động bất hợp pháp chủ yếu được thực hiện trên các blockchain Ethereum (ETH), Arbitrum (ARB) và Optimism (OP).
Kẻ xâm nhập đã tận dụng một công cụ tập trung vào quyền riêng tư, Railgun, trên Arbitrum để tấn công mạng.
Pike Finance bị tấn công hai lần trong ba ngày
Nền tảng giám sát on-chain CertiK đã nhanh chóng truy tìm nguồn gốc của cuộc tấn công đến ngày 30 tháng 4.
Nó tiết lộ rằng kẻ tấn công đã sử dụng một phương pháp để chèn mã độc bằng cách gọi hàm khởi tạo, chức năng này đã thao túng hệ thống hợp đồng thông minh của Pike Finance.
Đại diện CertiK cho biết:
“[Kẻ tấn công] đã có thể khởi tạo hợp đồng của Pike Finance, trong đó biến _isActive được đặt thành địa chỉ của kẻ tấn công.
Sau đó, kẻ tấn công có thể sử dụng đặc quyền này để gọi hàm nâng cấp hợp đồng ToAndCall và thay đổi cách triển khai thành hàm mà chúng đã tạo. Sau đó, họ có thể rút hết tài sản của hợp đồng”.
Sau các cảnh báo, Pike Finance cuối cùng đã đưa ra một tuyên bố nêu chi tiết về việc khai thác và hậu quả của nó đối với tài khoản X chính thức của mình.
Giao thức đã tuyên bố mất 99,970.48 ARB, 64,126 OP và 479.39 ETH từ sự cố này.
Theo phân tích chi tiết do Pike Finance cung cấp, kẻ tấn công đã nâng cấp các hợp đồng nan hoa theo khuôn khổ đã bị xâm phạm trước đó. Sau đó, họ khai thác bản đồ lưu trữ sai lệch của hợp đồng thông minh.
Đội ngũ Pike Finance đã viết:
“Kết quả là, những kẻ tấn công sau đó có thể nâng cấp các hợp đồng nan hoa, bỏ qua quyền truy cập của quản trị viên và rút tiền”.
Pike Finance cũng nhấn mạnh cam kết điều tra thêm vi phạm. Ngoài ra, nó còn tặng thưởng 20% cho bất kỳ thông tin nào dẫn đến việc lấy lại tài sản bị đánh cắp.
Nó cũng sẽ thảo luận và công bố kế hoạch bồi thường cho những người dùng bị ảnh hưởng.
Việc khai thác gần đây có liên quan đến lỗ hổng trong hoạt động rút USD Coin (USDC) vào ngày 26 tháng 4.
Pike Finance thừa nhận rằng lỗ hổng này là “do các biện pháp bảo mật yếu trong các chức năng quản lý chuyển USDC qua giao thức CCTP.
Một lỗ hổng nghiêm trọng đã được tìm thấy trong các chức năng đốt USDC trên source chain và mint trên target chain, được tự động hóa bởi các dịch vụ của Gelato.
Pike Finance cho biết:
“Việc bảo vệ không đầy đủ chức năng này đã cho phép kẻ tấn công thao túng địa chỉ và số tiền của người nhận, vốn được giao thức Pike xử lý là hợp lệ”.
Việc khai thác đã gây thiệt hại 299,127 USDC, ảnh hưởng đến ba mạng – Ethereum, Arbitrum và Optimism.
Tuy nhiên, Pike Finance khẳng định rằng vụ việc chỉ ảnh hưởng đến tài sản USDC, còn tất cả các tài sản khác đều an toàn.
Tin Tức Bitcoin tổng hợp.
