Na manhã desta quarta-feira (1), a empresa de segurança de blockchain Cyvers identificou várias transações anômalas no protocolo de empréstimos cross-chain Pike Finance. A Cyvers revelou ainda que as transações suspeitas resultaram em uma perda financeira substancial de aproximadamente US$ 1,6 milhão.
A atividade ilícita foi realizada principalmente nas blockchains Ethereum (ETH), Arbitrum (ARB) e Optimism (OP). O invasor utilizou uma ferramenta focada em privacidade, Railgun, para o seu ataque cibernético.
Pike Finance sofre duas explorações em três dias
A plataforma de vigilância on-chain CertiK rastreou rapidamente as origens do ataque. Ela revela que o invasor usou um método para inserir um código malicioso invocando a função de inicialização, que manipulou o sistema de contrato inteligente da Pike Finance.
“[O] invasor conseguiu inicializar o contrato da Pike Finance, durante o qual a variável _isActive é definida como o endereço do invasor. O invasor podia então usar esse privilégio para chamar a função upgradeToAndCall dos contratos e alterar a implementação para uma que ele havia criado. Assim, eles conseguiam drenar os ativos do contrato”, disse o representante da CertiK ao BeInCrypto.
Após os alertas, a Pike Finance finalmente emitiu uma declaração detalhando a exploração e suas repercussões em sua conta oficial no X. O protocolo alegou uma perda de 99.970,48 ARB, 64.126 OP e 479,39 ETH com o incidente.
De acordo com a análise detalhada fornecida pela Pike Finance, o invasor atualizou os contratos de spoke em uma estrutura previamente comprometida. Em seguida, explorou o mapeamento de armazenamento desalinhado do contrato inteligente.
“Como resultado, os invasores puderam atualizar os contratos de spoke, ignorando o acesso do administrador, e retirar fundos”, escreveu a equipe da Pike Finance.
A Pike Finance também destacou seu compromisso de investigar a violação. Além disso, ela oferece uma recompensa de 20% por qualquer informação que leve à recuperação dos ativos roubados. Ela também discutirá e anunciará planos para compensar os usuários afetados.
Leia mais: 6 dicas para proteger suas criptomoedas contra hacks e roubos
A recente exploração está relacionada a uma vulnerabilidade em sua retirada de USD Coin (USDC) em 26 de abril. A Pike Finance reconheceu que a vulnerabilidade é “devido a medidas de segurança fracas em funções que gerenciam transferências de USDC via protocolo CCTP. Uma falha crítica foi encontrada nas funções destinadas à queima de USDC em uma cadeia de origem e à cunhagem em uma cadeia de destino, que foi automatizada pelos serviços da Gelato.
“A proteção inadequada dessa função permitiu que os invasores manipulassem o endereço e os valores do receptor, que foram processados pelo protocolo Pike como válidos”, afirmou a Pike Finance em um post post-mortem.
A exploração resultou na perda de 299.127 USDC, afetando três redes – Ethereum, Arbitrum e Optimism. No entanto, a Pike Finance afirmou que o incidente afetou apenas os ativos em USDC, e que todos os outros ativos estão seguros.
Isenção de responsabilidade
Todas as informações contidas em nosso site são publicadas de boa fé e apenas para fins de informação geral. Qualquer ação que o leitor tome com base nas informações contidas em nosso site é por sua própria conta e risco.
