Pike Finance признает ошибку после взлома на сумму 1,7 миллиона долларов и отрицает вину USDC
Обложка/иллюстрация через CryptoSlate. Изображение включает в себя комбинированный контент, который может включать контент, созданный искусственным интеллектом.
На 1 мая протокол DeFi Pike Finance исправил описание недавнего эксплойта и заявил, что он не вызван уязвимостью USDC, как указывалось ранее.
Согласно последнему заявлению компании:
«Термин «уязвимость USDC» был неточным для описания эксплойта прошлой недели».
Вместо этого инциденту способствовали недостатки в контрактных функциях Pike, в частности проблемы, связанные с обработкой переводов по протоколу межсетевой передачи Circle (CCTP).
Он добавил, что основная причина эксплойта не связана с «функциональностью и надежностью» USDC Circle, поддерживаемого CCTP или Gelato — протоколом автоматизации смарт-контрактов.
Пайк Финанс первоначально признал полную ответственность за объяснение первой атаки 26 апреля, отметив, что эксплойт стал «следствием неправильной интеграции протокола [команды]» сторонних технологий и что ответственность за некоторые проверки лежит «исключительно на Пайк как интегратор».
Однако, ретроспективно ссылаясь на первую атаку после инцидента 30 апреля, они ошибочно заявили, что она могла быть связана с «уязвимостью USDC».
Каждая атака приводила к значительным потерям для Pike Finance.
В результате атаки 30 апреля было похищено 99 970,48 ARB, 64 126 OP и 479,39 ETH. По данным Certik, инцидент привел к убыткам в размере 1,7 миллиона долларов.
Согласно заявлениям Pike Finance, более ранняя атака 26 апреля привела к потере 299 127 долларов США на Ethereum, Arbitrum и Optimism.
Причина каждой атаки
Первая атака 26 апреля была вызвана функциями, связанными с переводами USDC на CCTP, автоматизированными Gelato. Уязвимость позволяла злоумышленникам изменить адрес получателя и суммы, которые Pike Finance считала действительными из-за неправильной интеграции функций.
Pike Finance сообщила, что ее партнер по аудиту OtterSec проинформировал ее о проблеме. В протоколе добавлено, что он не смог устранить уязвимость до атаки.
Вторая атака произошла после того, как Pike Finance обновила свои контракты, чтобы приостановить работу сети. Обновление в конечном итоге привело к тому, что контракт стал вести себя так, как если бы он был неинициализирован, что позволило злоумышленникам обновить контракт, обойти доступ администратора и вывести средства.
Pike Finance — один из многих проектов DeFi, ставших жертвой эксплойтов. Однако в апреле потери от мошенничества и эксплойтов снизились, согласно данным последние отчеты .
