En la madrugada del miércoles, la empresa de seguridad de blockchain Cyvers identificó varias transacciones anómalas en el protocolo de préstamos cross-chain Pike Finance. Cyvers reveló además que esta transacción sospechosa resultó en una pérdida financiera sustancial de aproximadamente 1,6 millones de dólares.
La actividad ilícita se llevó a cabo principalmente en las blockchains Ethereum (ETH), Arbitrum (ARB) y Optimism (OP). El atacante utilizó una herramienta centrada en la privacidad, Railgun, en Arbitrum para su exploit.
Pike Finance sufre exploit valorado en 1,6 millones de dólares
La plataforma de vigilancia on-chain CertiK rastreó rápidamente el origen del ataque hasta el 30 de abril. Revela que el atacante utilizó un método para insertar un código malicioso invocando la función “initialize”, que manipulaba el sistema de contratos inteligentes de Pike Finance.
“[El] atacante fue capaz de inicializar el contrato de Pike Finance, durante el cual la variable _isActive se establece en la dirección del atacante. El atacante pudo entonces utilizar este privilegio para llamar a la función upgradeToAndCall del contrato y cambiar la implementación a una que ellos habían creado. A continuación, podían vaciar los activos del contrato”, declaró el representante de CertiK a BeInCrypto.
Lea más: 10 consejos básicos de seguridad para criptomonedas
Tras las alertas, Pike Finance emitió finalmente un comunicado detallando el exploit y sus repercusiones a través de su cuenta oficial X. El protocolo reclamaba una pérdida de 99,970.48 ARB, 64,126 OP y 479.39 ETH por este incidente.
Según el desglose detallado proporcionado por Pike Finance, el atacante actualizó los contratos bajo un marco previamente comprometido. Luego explotó el mapeo de almacenamiento del smart contract.
“Como resultado, los atacantes fueron capaces de actualizar los contratos, evitando el acceso del administrador, y retirar fondos”, escribió el equipo de Pike Finance.
Pike Finance también destacó su compromiso de seguir investigando la brecha de seguridad. Además, ofrece una recompensa del 20% por cualquier información que permita recuperar los activos robados. También discutirá y anunciará planes para compensar a los usuarios afectados.
Segundo ataque en tres días
El reciente ataque está relacionado con una vulnerabilidad en el retiro de USD Coin (USDC) el 26 de abril. Pike Finance reconoció que la vulnerabilidad se debe “a medidas de seguridad débiles en las funciones que gestionan las transferencias de USDC a través del protocolo CCTP”.
Se encontró un fallo crítico en las funciones destinadas a la quema de USDC en una cadena de origen y la acuñación en una cadena de destino, que fue automatizada por los servicios de Gelato.
“La protección inadecuada de esta función permitió a los atacantes manipular la dirección y las cantidades del receptor, que fueron procesadas por el protocolo de Pike como válidas”, declaró Pike Finance en un post-mortem.
El exploit supuso la pérdida de 299,127 USDC y afectó a tres redes: Ethereum, Arbitrum y Optimism. Sin embargo, Pike Finance afirmó que el incidente sólo afectó a los activos USDC, y que todos los demás activos están a salvo.
Trusted
Descargo de responsabilidad
Descargo de responsabilidad: en cumplimiento de las pautas de Trust Project, BeInCrypto se compromete a brindar informes imparciales y transparentes. Este artículo de noticias tiene como objetivo proporcionar información precisa y oportuna. Sin embargo, se recomienda a los lectores que verifiquen los hechos de forma independiente y consulten con un profesional antes de tomar cualquier decisión basada en este contenido.
