Pike Finance - 被窃



Pike Finance 在动荡的水域中遭受攻击,存储漏洞使黑客在多次攻击中盗取超过190万美元。

最新的漏洞由 Chain Aegis 于 4 月 30 日发现,导致超过 160 万美元的 ARB、OP 和 ETH 被盗。Pike Finance 随后确认了此事。

此次事件发生在几天前报告的 USDC 漏洞 之后。

Pike Finance 承认了初始攻击,但措施未能防止进一步的攻击。

遗憾的是,Pike Finance 在首次攻击后采取的行动未能阻止进一步的攻击。

本可预防的又一次攻击。

Pike Finance 是否有能力渡过这场危机?

一次被骗,羞愧的是你。两次被骗,羞愧的是我。

Pike Finance 不只一次,而是两次成为攻击的目标,攻击者利用合约漏洞控制并榨取资金。

Pike 是一个全球性的流动性市场,允许在各自的区块链上直接使用原生资产进行借贷,无需包装或跨链转移。

根据 Pike Finance 的说法,4 月 26 日的首次攻击是由于在处理 CCTP 转账时合约功能的安全措施薄弱所导致。

在尝试暂停协议期间,代码中添加的依赖改变了存储布局并移动了初始化变量,导致合约行为异常。

攻击者利用这一机会,无需管理员访问权限即升级了分支合约,成功盗取资金。

目标合约的升级实现合约存在漏洞,允许攻击者初始化后窃取所有者权限。

攻击者还在以太坊、Arbitrum 和 Optimism 网络上发起攻击。

两次攻击都源自同一智能合约漏洞,该漏洞允许攻击者覆盖合约。

攻击过程由 Quill Audits 描述如下:

  • 攻击者在原始合约的初始化函数中添加了自己的地址至 _isActive 变量。
  • 利用未受保护的初始化函数,攻击者绕过了防止多次执行的安全措施。
  • 通过控制版本号,攻击者封锁并使用可复用编号,使得每次升级都可以执行新的初始化步骤。
  • 最终,攻击者执行了 upgradeToAndCall,部署了恶意版本的合约,成功侵入 Pike Finance 的安全系统。

4 月 26 日对 Arbitrum 的攻击

攻击者:
0xAdaF1626aEC26A7937aE7d1Fa0664e6E0904C1d0

目标合约: 0x7856493B59cdb1685757A6DcCe12425F6a6666a0

攻击交易: 0x979ad9b7f5331ea8034305a83b5cd50aea88adec395fff8298dd90eb1b87667f

4 月 30 日对多个网络的攻击

攻击者: 0x19066f7431df29a0910d287c8822936bb7d89e23

攻击合约: 0x1da4bc596bfb1087f2f7999b0340fcba03c47fbd

目标合约: 0xfc7599cffea9de127a9f9c748ccb451a34d2f063

攻击交易: 0xe2912b8bf34d561983f2ae95f34e33ecc7792a2905a3e317fcc98052bce66431

Pike Finance 没有 公开审计漏洞赏金程序,其站点文档中这两部分仍然标明“即将推出”。

他们甚至尚未更新其 合约页面,目前仍然只列出了测试网合约。

Pike 在 3 月底举行了其原生 PIU 代币的 社区预售,筹集了 645 万美元。

他们在 4 月 26 日通过 链上消息联系了最初的攻击者。

他们提供 20% 的奖励,寻求攻击者归还资金或提供有助于追回资金的信息。

此外,他们将在稍后提供一份赔偿用户的报告和计划。

根据 攻击公告 的多数反馈,许多用户希望追回他们的预售资金,这部分资金目前似乎未受影响。

团队是否能整顿重组,还是最终在不信任的海洋中苦苦挣扎?

Pike Finance 的安全问题引发了警示,使人不禁思考,他们是临时抱佛脚还是彻底失败?

公开审计和漏洞赏金计划的缺失,加上初次被攻击后未能及时修复合约,都表明了管理上的疏忽。

对首次攻击反应迟缓,导致第二次攻击得以实施,由于在合约处理上的极大疏忽,使其用户群体面临风险。

参与了 645 万美元代币预售的投资者自然感到担忧。

Pike 对更新的拖延和“报告及计划”的含糊承诺,几乎没有减轻他们的恐惧。

Pike 能否在这场风暴中保持航向,还是会因为安全态度随意而沉没?

只有时间能告诉我们 Pike Finance 是否能够挽回局面,或者他们是否将成为加密安全领域偷工减料的另一个警示。


分享本文

REKT作为匿名作者的公共平台,我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任,无论是由我们网站的匿名作者,还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则,我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责,也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。