水曜日の早朝、ブロックチェーンセキュリティ会社Cyversは、Pike Financeのクロスチェーン融資プロトコルでいくつかの異常な取引を特定した。サイバーズはさらに、この不審な取引により約 160 万ドルの重大な経済的損失が発生したことを明らかにしました。
違法行為は主にイーサリアム(ETH)、アービトラム(ARB)、オプティミズム(OP)のブロックチェーン上で行われた。侵入者は、Arbitrum 上のプライバシー重視のツール Railgun をサイバー攻撃に利用しました。
Pike Finance は 3 日間で 2 回悪用されました
オンチェーン監視プラットフォーム CertiK は、攻撃の発信元を 4 月 30 日まで迅速に追跡しました。これにより、攻撃者はパイク・ファイナンスのスマート・コントラクト・システムを操作する初期化関数を呼び出して悪意のあるコードを注入する方法を使用したことが明らかになりました。
「[攻撃者は Pike Finance 契約の初期化に成功し、その間に _isActive 変数が攻撃者のアドレスに設定されます。その後、攻撃者はこの権限を使用してコントラクトの upgradeToAndCall 関数を呼び出し、実装を作成されたものに変更する可能性があります。その後、彼らは契約資産を使い切ることができました」とCertiKの代表者はBeInCryptoに語った。
続きを読む: 上位 5 つの暗号化セキュリティ上の欠陥とその回避方法
警告を受けて、パイク・ファイナンスはついに、公式Xアカウントでエクスプロイトとその影響を詳述する声明を発表した。プロトコルは、この事件による99,970.48 ARB、64,126 OP、および479.39 ETHの損失を宣言しました。
Pike Finance が提供した詳細な内訳によると、攻撃者は以前に侵害されたコンテキストでスポーク契約を更新しました。次に彼らは、スマート コントラクトの不整合なストレージ マッピングを利用しました。
「その結果、攻撃者はスポーク契約を更新し、管理アクセスを回避して資金を引き出すことができた」とパイク・ファイナンス・チームは書いている。
パイク・ファイナンスはまた、この侵害をさらに調査するという決意を強調した。さらに、盗難品の回収につながる情報に対しては 20% の報酬を提供します。また、影響を受けるユーザーへの補償計画も検討し、発表する予定だ。
最近のエクスプロイトは、4 月 26 日の USD Coin (USDC) の出金の脆弱性に関連しています。 Pike Financeは、この脆弱性は「CCTPプロトコルを介してUSDC転送を処理する機能のセキュリティ対策が弱いことが原因である」と認めた。ソースチェーンでUSDCを書き込み、ソースチェーン宛先でミントするように設計された機能で重大な欠陥が見つかり、自動化されていた。ジェラートサービスによる。
続きを読む: 必須の暗号セキュリティに関するヒント トップ 10
「この機能の保護が不十分だったため、攻撃者は受信者のアドレスと金額を操作できたが、これらはパイク・プロトコルによって有効なものとして扱われた」とパイク・ファイナンスは事後分析で述べた。
この悪用により 299,127 USDC が損失し、イーサリアム、アービトラム、オプティミズムの 3 つのネットワークに影響を与えました。しかし、パイク・ファイナンスは、この事件が影響したのはUSDC資産のみで、他の資産はすべて安全であると述べた。
投稿Pike Finance が 3 日間で 2 回悪用され、160 万ドル以上が失われた最初にBeInCryptoに登場しました。