02/05/2024 08:06
59
Vào ngày 1 tháng 5, giao thức DeFi Pike Finance đã sửa lại mô tả về một lần khai thác gần đây và cho biết nguyên nhân không phải do lỗ hổng USDC gây ra như đã nêu trước đó.
Theo tuyên bố mới nhất của công ty:
Họ nói thêm rằng nguyên nhân cốt lõi của việc khai thác không liên quan đến “chức năng và tính mạnh mẽ” của Circle USDC được kích hoạt bởi CCTP hoặc Gelato – một giao thức tự động hóa hợp đồng thông minh.
Pike Finance ban đầu thừa nhận hoàn toàn trách nhiệm trong lời giải thích về vụ tấn công đầu tiên vào ngày 26 tháng 4, lưu ý rằng việc khai thác là “hậu quả của việc tích hợp giao thức [nhóm] không đúng” với công nghệ của bên thứ ba và rằng trách nhiệm đối với một số kiểm tra nhất định “chỉ thuộc về Pike vì một nhà tích hợp."
Tuy nhiên, khi đề cập lại cuộc tấn công đầu tiên sau sự cố ngày 30 tháng 4, họ đã nói một cách sai lầm rằng nó có thể liên quan đến “lỗ hổng USDC”.
Mỗi cuộc tấn công đều dẫn đến tổn thất đáng kể cho Pike Finance.
Cuộc tấn công ngày 30 tháng 4 đã chứng kiến vụ trộm 99.970,48 ARB, 64.126 OP và 479,39 ETH. Theo dữ liệu của Certik, vụ việc đã gây thiệt hại 1,7 triệu USD.
Theo báo cáo của Pike Finance, cuộc tấn công trước đó vào ngày 26 tháng 4 liên quan đến việc mất 299.127 USDC trên Ethereum, Arbitrum và Optimism.
Pike Finance cho biết đối tác kiểm toán của họ, OtterSec, đã thông báo về vấn đề này. Giao thức nói thêm rằng nó không thể giải quyết lỗ hổng trước cuộc tấn công.
Cuộc tấn công thứ hai xảy ra sau khi Pike Finance nâng cấp các hợp đồng nan hoa của mình để tạm dừng mạng. Bản cập nhật cuối cùng đã khiến hợp đồng hoạt động như thể nó chưa được khởi tạo, cho phép kẻ tấn công nâng cấp hợp đồng, bỏ qua quyền truy cập của quản trị viên và rút tiền.
Pike Finance là một trong nhiều dự án DeFi trở thành nạn nhân của hành vi khai thác. Tuy nhiên, theo các báo cáo gần đây, tháng 4 cho thấy tổn thất do lừa đảo và khai thác đã giảm.
Theo tuyên bố mới nhất của công ty:
"Thuật ngữ 'lỗ hổng USDC' không chính xác để tóm tắt việc khai thác tuần trước."Thay vào đó, những điểm yếu trong chức năng hợp đồng Pike, đặc biệt là các vấn đề liên quan đến việc xử lý chuyển khoản trên Giao thức chuyển chuỗi chéo vòng tròn (CCTP), đã khiến sự cố xảy ra.
Họ nói thêm rằng nguyên nhân cốt lõi của việc khai thác không liên quan đến “chức năng và tính mạnh mẽ” của Circle USDC được kích hoạt bởi CCTP hoặc Gelato – một giao thức tự động hóa hợp đồng thông minh.
Pike Finance ban đầu thừa nhận hoàn toàn trách nhiệm trong lời giải thích về vụ tấn công đầu tiên vào ngày 26 tháng 4, lưu ý rằng việc khai thác là “hậu quả của việc tích hợp giao thức [nhóm] không đúng” với công nghệ của bên thứ ba và rằng trách nhiệm đối với một số kiểm tra nhất định “chỉ thuộc về Pike vì một nhà tích hợp."
Tuy nhiên, khi đề cập lại cuộc tấn công đầu tiên sau sự cố ngày 30 tháng 4, họ đã nói một cách sai lầm rằng nó có thể liên quan đến “lỗ hổng USDC”.
Mỗi cuộc tấn công đều dẫn đến tổn thất đáng kể cho Pike Finance.
Cuộc tấn công ngày 30 tháng 4 đã chứng kiến vụ trộm 99.970,48 ARB, 64.126 OP và 479,39 ETH. Theo dữ liệu của Certik, vụ việc đã gây thiệt hại 1,7 triệu USD.
Theo báo cáo của Pike Finance, cuộc tấn công trước đó vào ngày 26 tháng 4 liên quan đến việc mất 299.127 USDC trên Ethereum, Arbitrum và Optimism.
Nguyên nhân của mỗi cuộc tấn công
Cuộc tấn công đầu tiên vào ngày 26 tháng 4 xuất phát từ các chức năng liên quan đến chuyển USDC trên CCTP do Gelato tự động hóa. Lỗ hổng này cho phép kẻ tấn công thay đổi địa chỉ và số tiền của người nhận mà Pike Finance đã xử lý là hợp lệ do việc tích hợp các tính năng không đúng cách.Pike Finance cho biết đối tác kiểm toán của họ, OtterSec, đã thông báo về vấn đề này. Giao thức nói thêm rằng nó không thể giải quyết lỗ hổng trước cuộc tấn công.
Cuộc tấn công thứ hai xảy ra sau khi Pike Finance nâng cấp các hợp đồng nan hoa của mình để tạm dừng mạng. Bản cập nhật cuối cùng đã khiến hợp đồng hoạt động như thể nó chưa được khởi tạo, cho phép kẻ tấn công nâng cấp hợp đồng, bỏ qua quyền truy cập của quản trị viên và rút tiền.
Pike Finance là một trong nhiều dự án DeFi trở thành nạn nhân của hành vi khai thác. Tuy nhiên, theo các báo cáo gần đây, tháng 4 cho thấy tổn thất do lừa đảo và khai thác đã giảm.
Chia sẻ bài viết này với bạn bè qua Facebook / Zalo / Telegram:
|