Vào sáng sớm thứ Tư, công ty bảo mật blockchain Cyvers đã xác định một số giao dịch bất thường trên giao thức cho vay chuỗi chéo của Pike Finance. Cyvers tiết lộ thêm rằng giao dịch đáng ngờ này dẫn đến tổn thất tài chính đáng kể khoảng 1.6 triệu USD.
Hoạt động bất hợp pháp chủ yếu được thực hiện trên các blockchain Ethereum (ETH), Arbitrum (ARB) và Optimism (OP). Kẻ xâm nhập đã tận dụng một công cụ tập trung vào quyền riêng tư, Railgun, trên Arbitrum cho cuộc tấn công mạng của họ.
Tham gia Cộng đồng BeInCrypto trên Telegram để tìm hiểu về các bài phân tích kỹ thuật, thảo luận về tiền điện tử và nhận câu trả lời cho tất cả các câu hỏi của bạn từ các chuyên gia và nhà giao dịch chuyên nghiệp của chúng tôi nhé.
Pike Finance bị hack hai lần trong ba ngày
Nền tảng giám sát on-chain CertiK đã nhanh chóng truy tìm nguồn gốc của cuộc tấn công đến ngày 30/4. Nó tiết lộ rằng kẻ tấn công đã sử dụng một phương pháp để chèn mã độc bằng cách gọi hàm khởi tạo, thao túng hệ thống hợp đồng thông minh của Pike Finance.
Kẻ tấn công đã có thể khởi tạo hợp đồng của Pike Finance, trong đó biến _isActive được đặt thành địa chỉ của kẻ tấn công. Kẻ tấn công sau đó có thể sử dụng đặc quyền này để gọi hàm hợp đồng upgradeToAndCall và thay đổi việc triển khai thành một hợp đồng mà chúng đã tạo. Sau đó, họ đã có thể rút cạn tài sản của hợp đồng.
Đại diện của CertiK nói với BeInCrypto.
Sau các cảnh báo, Pike Finance cuối cùng đã đưa ra một tuyên bố chi tiết về việc bị hack và hậu quả của nó đối với tài khoản X chính thức của mình. Giao thức tuyên bố mất 99,970.48 ARB; 64,126 OP và 479.39 ETH từ sự cố này.
Theo phân tích chi tiết do Pike Finance cung cấp, kẻ tấn công đã nâng cấp các hợp đồng nói trên theo khuôn khổ bị xâm phạm trước đó. Sau đó, họ khai thác ánh xạ lưu trữ sai lệch của hợp đồng thông minh.
Kết quả là, những kẻ tấn công sau đó đã có thể nâng cấp các hợp đồng nói trên, bỏ qua quyền truy cập của quản trị viên và rút tiền.
Nhóm Pike Finance viết.
Pike Finance cũng nhấn mạnh cam kết điều tra vi phạm hơn nữa. Ngoài ra, nó cung cấp phần thưởng 20% cho bất kỳ thông tin nào dẫn đến việc thu hồi tài sản bị đánh cắp. Nó cũng sẽ thảo luận và công bố kế hoạch bồi thường cho người dùng bị ảnh hưởng.
Việc bị hack gần đây có liên quan đến lỗ hổng trong việc rút USD Coin (USDC) vào ngày 26/4. Pike Finance thừa nhận rằng lỗ hổng này là “do các biện pháp bảo mật yếu trong các chức năng quản lý chuyển USDC thông qua giao thức CCTP. Một lỗ hổng nghiêm trọng đã được tìm thấy trong các chức năng có nghĩa là để đốt USDC trên chuỗi nguồn và đúc trên chuỗi đích, được tự động hóa bởi các dịch vụ của Gelato.
Việc bảo vệ không đầy đủ chức năng này cho phép kẻ tấn công thao túng địa chỉ và số tiền của người nhận, được xử lý bởi giao thức Pike là hợp lệ.
Pike Finance tuyên bố trong một bài đăng sau khi điều tra vụ hack.
Việc Pike Finance bị hack đã khiến mất 299,127 USDC, ảnh hưởng đến ba mạng – Ethereum, Arbitrum và Optimism. Tuy nhiên, Pike Finance tuyên bố rằng vụ việc chỉ ảnh hưởng đến tài sản USDC và tất cả các tài sản khác đều an toàn.
Tất cả thông tin có trên trang web của chúng tôi được xuất bản với thiện chí và chỉ dành cho mục đích thông tin chung. Bất kỳ hành động nào người đọc thực hiện đối với thông tin được tìm thấy trên trang web của chúng tôi, họ cần phải đánh giá lại và hoàn toàn chịu rủi ro từ quyết định của chính họ.
