Ver mais

Protocolo sofre 2 ataques em 3 dias; US$ 1,6 milhão são roubados

2 mins
Traduzido Anderson Mendes

EM RESUMO

  • A vulnerabilidade do contrato inteligente da Pike Finance levou a uma perda de US$ 1,6 milhão.
  • O ataque ocorreu após um incidente anterior relacionado ao USDC, em 26 de abril.
  • A equipe da Pike oferece recompensas e planeja compensação para os usuários afetados.
  • promo

Na manhã desta quarta-feira (1), a empresa de segurança de blockchain Cyvers identificou várias transações anômalas no protocolo de empréstimos cross-chain Pike Finance. A Cyvers revelou ainda que as transações suspeitas resultaram em uma perda financeira substancial de aproximadamente US$ 1,6 milhão.

A atividade ilícita foi realizada principalmente nas blockchains Ethereum (ETH), Arbitrum (ARB) e Optimism (OP). O invasor utilizou uma ferramenta focada em privacidade, Railgun, para o seu ataque cibernético.

Pike Finance sofre duas explorações em três dias

A plataforma de vigilância on-chain CertiK rastreou rapidamente as origens do ataque. Ela revela que o invasor usou um método para inserir um código malicioso invocando a função de inicialização, que manipulou o sistema de contrato inteligente da Pike Finance.

“[O] invasor conseguiu inicializar o contrato da Pike Finance, durante o qual a variável _isActive é definida como o endereço do invasor. O invasor podia então usar esse privilégio para chamar a função upgradeToAndCall dos contratos e alterar a implementação para uma que ele havia criado. Assim, eles conseguiam drenar os ativos do contrato”, disse o representante da CertiK ao BeInCrypto.

Transações suspeitas da Pike Finance. Fonte: Cyvers

Após os alertas, a Pike Finance finalmente emitiu uma declaração detalhando a exploração e suas repercussões em sua conta oficial no X. O protocolo alegou uma perda de 99.970,48 ARB, 64.126 OP e 479,39 ETH com o incidente.

De acordo com a análise detalhada fornecida pela Pike Finance, o invasor atualizou os contratos de spoke em uma estrutura previamente comprometida. Em seguida, explorou o mapeamento de armazenamento desalinhado do contrato inteligente.

“Como resultado, os invasores puderam atualizar os contratos de spoke, ignorando o acesso do administrador, e retirar fundos”, escreveu a equipe da Pike Finance.

A Pike Finance também destacou seu compromisso de investigar a violação. Além disso, ela oferece uma recompensa de 20% por qualquer informação que leve à recuperação dos ativos roubados. Ela também discutirá e anunciará planos para compensar os usuários afetados.

Leia mais: 6 dicas para proteger suas criptomoedas contra hacks e roubos

A recente exploração está relacionada a uma vulnerabilidade em sua retirada de USD Coin (USDC) em 26 de abril. A Pike Finance reconheceu que a vulnerabilidade é “devido a medidas de segurança fracas em funções que gerenciam transferências de USDC via protocolo CCTP. Uma falha crítica foi encontrada nas funções destinadas à queima de USDC em uma cadeia de origem e à cunhagem em uma cadeia de destino, que foi automatizada pelos serviços da Gelato.

“A proteção inadequada dessa função permitiu que os invasores manipulassem o endereço e os valores do receptor, que foram processados pelo protocolo Pike como válidos”, afirmou a Pike Finance em um post post-mortem.

A exploração resultou na perda de 299.127 USDC, afetando três redes – Ethereum, Arbitrum e Optimism. No entanto, a Pike Finance afirmou que o incidente afetou apenas os ativos em USDC, e que todos os outros ativos estão seguros.

Melhores plataformas de criptomoedas | Junho de 2024
Melhores plataformas de criptomoedas | Junho de 2024
Melhores plataformas de criptomoedas | Junho de 2024

Trusted

Isenção de responsabilidade

Todas as informações contidas em nosso site são publicadas de boa fé e apenas para fins de informação geral. Qualquer ação que o leitor tome com base nas informações contidas em nosso site é por sua própria conta e risco.

4d198a1c7664cbf9005dfd7c70702e03.png
Anderson Mendes
Membro ativo da comunidade de criptoativos e economia em geral, Anderson é formado pela Universidade Positivo, e escreve sobre as principais notícias do mercado. Antes de entrar para a equipe brasileira do BeInCrypto, Anderson liderou projetos relacionados à trading, produção de notícias e conteúdos educacionais relacionados ao mundo cripto no sul do Brasil.
READ FULL BIO
Patrocinados
Patrocinados