ブロックチェーンセキュリティ会社Cyversは1日、Pike Financeのクロスチェーン貸出プロトコルでいくつかの異常な取引を確認した。Cyversはさらに、この不審な取引によって約160万ドルの多額の金銭的損失が生じたことを明らかにした。
不正行為は主にイーサリアム(ETH)、アービトラム(ARB)、オプティミズム(OP)ブロックチェーンで行われました。侵入者はArbitrum上のプライバシーに特化したツール、Railgunをサイバー攻撃に活用した。
パイクファイナンス、3日間で2度のエクスプロイトを受ける
オンチェーン監視プラットフォームのCertiKは、攻撃の起源を4月30日に素早く突き止めた。それによると、攻撃者はinitialize関数を呼び出して悪意のあるコードを挿入する方法を使用し、Pike Financeのスマートコントラクトシステムを操作したことが明らかになりました。
Sponsored「攻撃者はPike Financeの契約を初期化することができ、その間に_isActive変数が攻撃者のアドレスに設定された。その後、攻撃者はこの特権を使用してコントラクトのupgradeToAndCall関数を呼び出し、自分が作成したものに実装を変更することができました。その後、攻撃者はコントラクトの資産を流出させることができた」とCertiKの代表者はBeInCryptoに語った。
警告の後、パイクファイナンスはついに公式Xアカウント上でエクスプロイトの詳細とその影響についての声明を発表した。プロトコルは、このインシデントによる99,970.48 ARB、64,126 OP、479.39 ETHの損失を主張した。
Pike Financeが提供した詳細な内訳によると、攻撃者は以前に侵害されたフレームワークの下でスポーク契約をアップグレードした。そして、スマートコントラクトのずれたストレージマッピングを悪用した。
その結果、攻撃者は管理者アクセスをバイパスしてスポーク契約をアップグレードし、資金を引き出すことができた。
Pike Financeはまた、この侵害をさらに調査することを強調している。さらに、盗まれた資産の回収につながる情報には20%の報奨金を提供するとしている。また、影響を受けたユーザーへの補償計画についても協議し、発表する予定だ。
今回の悪用は、4月26日のUSDコイン(USDC)の引き出しにおける脆弱性に関連している。パイクファイナンスはこの脆弱性について、「CCTPプロトコル経由でUSDCの送金を管理する機能のセキュリティ対策が弱いため」と認めている。Gelatoのサービスによって自動化された、ソースチェーンでのUSDCのバーニングとターゲットチェーンでのミントのための機能に重大な欠陥が見つかった。
「この機能の保護が不十分であったため、攻撃者は受信者のアドレスと金額を操作することができました。
この悪用により、29万9,127USDCの損失が発生し、イーサリアム、Arbitrum、Optimismの3つのネットワークに影響が及んだ。しかし、Pike Financeは、この事件はUSDC資産に影響を与えただけであり、他の資産はすべて安全であると主張している。