Puntos clave de la Noticia
- Pike Finance, un protocolo de préstamos entre cadenas, fue atacado por segunda vez en menos de una semana, lo que provocó pérdidas de más de $1,6 millones. El exploit se llevó a cabo en las blockchains Ethereum (ETH), Arbitrum (ARB) y Optimism (OP).
- El atacante aprovechó una vulnerabilidad en los smart contracts de Pike Finance y utilizó la función de inicialización para insertar código malicioso. Esto les permitió manipular el sistema de smart contracts de Pike Finance y drenar activos del contrato.
- En respuesta a la violación, Pike Finance ofrece una recompensa del 20% por información que conduzca a la recuperación de los activos robados. También están discutiendo un plan de compensación para los usuarios afectados y planean anunciarlo pronto.
Pike Finance, un protocolo de préstamos entre cadenas, ha sido atacado por segunda vez en menos de una semana, lo que ha provocado pérdidas de más de $1,6 millones. El exploit se llevó a cabo principalmente en las blockchains Ethereum (ETH), Arbitrum (ARB) y Optimism (OP).
El exploit fue identificado por primera vez por la empresa de seguridad blockchain Cyvers en las primeras horas del miércoles. Notaron varias transacciones anormales en el protocolo de préstamos entre cadenas de Pike Finance. Una investigación más exhaustiva reveló que estas transacciones sospechosas habían dado lugar a pérdidas financieras sustanciales de aproximadamente $1,6 millones.
El atacante aprovechó una vulnerabilidad en los smart contracts de Pike Finance y utilizó la función de inicialización para insertar código malicioso. Esto les permitió manipular el sistema de contratos inteligentes de Pike Finance.
“El atacante pudo inicializar los contratos de Pike Finance, durante los cuales la variable _isActive se configuró en la dirección del atacante. Luego, el atacante usó este privilegio para llamar a la función UpgradeToAndCall del contrato, cambiando la implementación a una que había creado. Luego, el atacante pudo drenar los activos del contrato”, dijo a los medios de comunicación un representante de la plataforma de monitoreo en cadena CertiK.
El impacto de los exploits en los usuarios de Pike Finance
Tras la advertencia, Pike Finance emitió un comunicado detallando el exploit y su impacto en su cuenta oficial. El protocolo reclamó pérdidas de 99.970,48 ARB, 64.126 OP y 479,39 ETH debido a este incidente.
Según el desglose detallado proporcionado por Pike Finance, el atacante actualizó el contrato radial bajo el marco previamente comprometido y aprovechó el mapeo de almacenamiento desalineado del smart contract. Este exploit sigue a una vulnerabilidad relacionada con los retiros de USD Coin (USDC) que ocurrieron el 26 de abril.
Pike Finance reconoció esta vulnerabilidad y afirmó que las medidas de seguridad para gestionar las transferencias del USDC a través del protocolo CCTP eran débiles. Este exploit resultó en una pérdida de 299,127 USDC, lo que afectó a las redes Ethereum, Arbitrum y Optimism. Sin embargo, Pike Finance aseguró que este incidente solo afectó a los activos del USDC y que todos los demás activos permanecieron a salvo.
En respuesta a la violación, Pike Finance ofrece una recompensa del 20% por información que conduzca a la recuperación de los activos robados. También están discutiendo un plan de compensación para los usuarios afectados y planean anunciarlo pronto. El equipo de Pike Finance está investigando más a fondo esta infracción.