Sobre 1 de MaioO protocolo DeFi Pike Finance corrigiu sua descrição de uma exploração recente e disse que não foi causada por uma vulnerabilidade do USDC, conforme afirmado anteriormente.
De acordo com o último comunicado da empresa:
“O termo ‘vulnerabilidade USDC’ era impreciso para resumir a exploração da semana passada.”
Em vez disso, as deficiências nas funções contratuais da Pike, particularmente questões relacionadas ao tratamento de transferências no Cross-Chain Transfer Protocol (CCTP) da Circle, permitiram que o incidente ocorresse.
Acrescentou que a causa raiz da exploração não estava relacionada à “funcionalidade e robustez” do USDC da Circle habilitado pelo CCTP ou Gelato – um protocolo de automação de contrato inteligente.
A Pike Finance admitiu originalmente total responsabilidade em sua explicação do primeiro ataque de 26 de abril, observando que a exploração era uma “consequência do protocolo [team’s] integração inadequada” de tecnologias de terceiros e que as responsabilidades por certas verificações recaem “exclusivamente sobre a Pike como integrador”.
No entanto, ao referir-se retrospectivamente ao primeiro ataque após o incidente de 30 de abril, disse erroneamente que poderia estar relacionado a uma “vulnerabilidade do USDC”.
Cada ataque resultou em perdas consideráveis para a Pike Finance.
O ataque de 30 de abril viu o roubo de 99.970,48 ARB, 64.126 OP e 479,39 ETH. O incidente resultou em uma perda de US$ 1,7 milhão, segundo dados da Certik.
O ataque anterior de 26 de abril envolveu a perda de 299.127 USDC em Ethereum, Arbitrum e Optimism, de acordo com declarações da Pike Finance.
Causa de cada ataque
O primeiro ataque em 26 de abril resultou de funções relacionadas a transferências de USDC no CCTP automatizadas pela Gelato. A vulnerabilidade permitiu que invasores alterassem o endereço e os valores do destinatário, que a Pike Finance processou como válidos devido à integração inadequada dos recursos.
A Pike Finance disse que seu parceiro de auditoria, OtterSec, a informou sobre o assunto. O protocolo acrescentou que não foi capaz de resolver a vulnerabilidade antes do ataque.
O segundo ataque ocorreu depois que a Pike Finance atualizou seus contratos de spoke para pausar a rede. A atualização acabou fazendo com que o contrato se comportasse como se não tivesse sido inicializado, permitindo que invasores atualizassem o contrato, ignorassem o acesso de administrador e retirassem fundos.
Pike Finance é um dos muitos projetos DeFi que foram vítimas de explorações. No entanto, abril apresentou perdas reduzidas com fraudes e explorações, de acordo com relatórios recentes.
source – cryptoslate.com
