Vào rạng sáng ngày 27/04, dự án lending cross-chain Pike Finance đã bị tấn công với thiệt hại ước tính 300.000 USDC.
Pike Finance bị tấn công vì những vấn đề liên quan đến hệ thống CCTP
Cập nhật sáng ngày 01/05:
Cộng đồng DeFi trên Twitter phát hiện vào sáng 01/05 đã có một vài giao dịch lạ liên quan đến các bể thanh khoản trên Ethereum, Arbitrum và Optimism của Pike Finance. Số tiền chuyển đi lần lượt là 479 ETH, 99.970 ARB và 64.126 OP, với giá trị tổng cộng là khoảng 1,7 triệu USD.
another hack on Ethereum @PikeFinance TX : 0xe2912b8bf34d561983f2ae95f34e33ecc7792a2905a3e317fcc98052bce66431
— Ancilia, Inc. (@AnciliaInc) April 30, 2024
Lỗ hổng trong contract của Pike Finance đã bị tận dụng để hacker update, thay đổi cấp quyền cho địa chỉ dùng cho khâu rút tiền.
the contract was upgraded by the attacker pic.twitter.com/EoXHem7MBj
— Ancilia, Inc. (@AnciliaInc) April 30, 2024
Phía Pike Finance mới đây cũng thừa nhận đã bị tấn công vào giai đoạn ngày 30/04. Dự án cho biết, để khắc phục lỗ hổng ngày 26/04, smart contract đã được tạm hoãn vận hành. Tuy nhiên, khâu xử lý lại làm thay đổi các thông số kỹ thuật, khiến hacker có thể tận dụng để chiếm quyền kiểm soát với smart contract của các pool.
Attention Users:
— Pike (@PikeFinance) May 1, 2024
On the 30th of April 2024, the Pike Beta protocol was exploited for 99,970.48 ARB, 64,126 OP and 479.39 ETH.
This exploit is related to the initial USDC vulnerability that was reported last week on the 26th of April.
In order to pause the protocol, the spoke…
Bên cạnh đó, Pike Finance cũng đề xuất mức thưởng bounty 20% nếu hacker có động thái hoàn trả lượng tài sản đã đánh cắp được.
Cập nhật ngày 29/04:
Vào sáng 29/04, Pike Finance đã công bố báo cáo mới nhất về vụ việc. Cụ thể, lỗ hổng trên không xuất phát từ nội tại sản phẩm của CCTP hay dịch vụ tự động hoá của Gelato. Theo đó, việc kiểm tra các điều kiện đầu cuối của Pike Finance gặp trục trặc, dẫn đến việc tin nhắn bị làm giả, từ đó tạo điều kiện để hacker có thể rút tiền từ các pool.
In case you missed it - check out the Post-Mortem for the recent exploit which includes what happened, how we responded, and what our next steps are.https://t.co/VmAsm4OMrO pic.twitter.com/WdLhVOAM1W
— Pike (@PikeFinance) April 29, 2024
Bài viết gốc:
Trong thông báo mới nhất gửi tới người dùng, Pike Finance cho biết các pool USDC trên Ethereum, Arbitrum và Optimism đã bị tấn công. Lí do của vụ việc đến từ tin nhắn cross-chain bị làm giả trên mạng lưới cầu nối CCTP của Cirlce, đơn vị phát hành stablecoin USDC.
Attention Pike Users:
— Pike (@PikeFinance) April 26, 2024
It has come to our attention that the USDC pool on Pike Beta has been exploited by a hacker on 2024-04-26 00:13:59 (UTC). The total amount of USDC exploited is 299,127.
The root cause is led by forged CCTP message to drain USDC on Ethereum, Arbitrum and…
Dù vậy, người dùng các pool USDC trên mạng lưới của Base không bị ảnh hưởng từ lỗ hổng trên. Pike Finance cũng cho biết thiệt hại ước tính từ vụ việc dao động trong khoảng 300.000 USDC. Bên cạnh đó, dự án đang nghiên cứu điều tra về lỗ hổng và sẽ có kế hoạch bồi hoàn cho những người dùng bị thiệt hại.
Hiện tại, chi tiết về lỗ hổng trên vẫn chưa được công bố và phía Circle cùng cầu nối CCTP vẫn chưa có thông báo cụ thể. Những cập nhật mới nhất từ vụ việc sẽ được Coin68 sớm gửi đến quý độc giả.
Pike Finance là giải pháp lending cho phép người dùng thực hiện các khoản vay cross-chain, với tài sản thế chấp phân bổ linh hoạt ở nhiều mạng lưới khác nhau.
Coin68 tổng hợp
Có thể bạn quan tâm:
Tham gia thảo luận về những vấn đề NÓNG HỔI nhất của thị trường DeFi tại nhóm chat Fomo Sapiens cùng các admin Coin68 nhé!!!