في وقت مبكر من صباح الأربعاء، حددت شركة Cyvers لأمن blockchain العديد من المعاملات الشاذة على بروتوكول الإقراض عبر السلسلة الخاص بشركة Pike Finance. وكشف Cyvers أيضًا أن هذه الصفقة المشبوهة أدت إلى خسارة مالية كبيرة تبلغ حوالي 1.6 مليون دولار.
تم إجراء النشاط غير المشروع في المقام الأول على بلوكتشين إيثريوم (ETH)، وأربيتروم (ARB)، وأوبتيمزم (OP). استخدم الدخيل أداة تركز على الخصوصية، Railgun، على Arbitrum في هجومه الإلكتروني.
تم استغلال بايك فاينانس مرتين في ثلاثة أيام
قامت منصة المراقبة CertiK على السلسلة بتتبع أصل الهجوم بسرعة حتى 30 أبريل. ويكشف أن المهاجم استخدم طريقة لإدخال تعليمات برمجية ضارة عن طريق استدعاء وظيفة التهيئة، والتي تلاعبت بنظام العقود الذكية الخاص بشركة Pike Finance.
"[تمكن المهاجم من تهيئة عقد Pike Finance، والذي يتم خلاله تعيين المتغير _isActive على عنوان المهاجم. يمكن للمهاجم بعد ذلك استخدام هذا الامتياز لاستدعاء وظيفة UpgradeToAndCall الخاصة بالعقد وتغيير التنفيذ إلى التطبيق الذي تم إنشاؤه. وقال ممثل CertiK لـ BeInCrypto: "لقد تمكنوا بعد ذلك من استنزاف أصول العقد".
اقرأ المزيد: أهم 5 عيوب أمنية في التشفير وكيفية تجنبها
وبعد هذه التحذيرات، أصدرت Pike Finance أخيرًا بيانًا يوضح بالتفصيل الاستغلال وتداعياته على حساب X الرسمي الخاص بها. أعلن البروتوكول عن خسارة قدرها 99,970.48 ARB، و64,126 OP، و479.39 ETH بسبب هذا الحادث.
وفقًا للتفاصيل التفصيلية التي قدمتها شركة Pike Finance، قام المهاجم بتحديث العقود المدرجة في سياق تم اختراقه مسبقًا. ثم استفادوا من تعيين التخزين المنحرف للعقد الذكي.
وكتب فريق بايك فاينانس: "ونتيجة لذلك، تمكن المهاجمون من تحديث العقود المفصلة، وتجاوز الوصول الإداري وسحب الأموال".
وأكدت بايك فاينانس أيضًا التزامها بمواصلة التحقيق في الانتهاك. بالإضافة إلى ذلك، يقدم مكافأة قدرها 20% مقابل أي معلومات تؤدي إلى استعادة البضائع المسروقة. كما ستناقش وتعلن عن خطط لتعويض المستخدمين المتأثرين.
ويرتبط الاستغلال الأخير بثغرة أمنية في سحب عملة USD (USDC) في 26 أبريل. أقرت بايك فاينانس أن الثغرة الأمنية "ترجع إلى ضعف الإجراءات الأمنية في الوظائف التي تتعامل مع تحويلات USDC عبر بروتوكول CCTP. تم العثور على خلل خطير في الوظائف المصممة لحرق USDC على سلسلة مصدر وسك العملة على وجهة سلسلة مصدر، والتي كانت آلية بواسطة خدمات جيلاتو.
اقرأ المزيد: أهم 10 نصائح حول أمان التشفير
وقالت بايك فاينانس في تقرير بعد الوفاة: "إن الحماية غير الكافية لهذه الميزة سمحت للمهاجمين بالتلاعب بعنوان المستلم والمبالغ، والتي تم التعامل معها على أنها صالحة بموجب بروتوكول بايك".
أدى الاستغلال إلى خسارة 299,127 USDC، مما أثر على ثلاث شبكات: Ethereum، وArbitrum، وOptimism. ومع ذلك، قال بايك فاينانس إن الحادث أثر فقط على أصول USDC وأن جميع الأصول الأخرى آمنة.
تم استغلال مقالة Pike Finance مرتين في ثلاثة أيام وخسارة أكثر من 1.6 مليون دولار لأول مرة على BeInCrypto .