Elismerte hibáját a DeFi protokoll, mégsem az USDC a sebezhető
A kriptovaluta piac fellendülésével általában jelentősen megszaporodnak a rosszindulatú kísérletek is az újonnan érkező vagy akár tapasztaltabb befektetők tőkéjének eltulajdonítására. Ez a trend már ciklusok óta változatlanul így van, most pedig a Pike Finance, egy ígéretes DeFi protokoll lett a támadás áldozata.
A Pike Finance protokollját múlt héten két támadás is érte, mely során szinte a teljes likviditást megszerezték a rosszindulatú behatolók. A csapat először az USDC kibocsátójának sebezhetőségére fogta a támadást, most azonban a vezetőség elismerte hibáját és elnézést kért a Circletől.
Támadás két ízben is a Pike ellen
A Pike Finance 2024 februárjában jelent meg a piacon, a DeFi Llama adatai alapján márciusban 3,33 millió dollárnyi zárolt érték (TVL) volt a hálózaton, szóval egy rendkívül kis szereplőről van szó. Az első sorban Ethereumra és második rétegű skálázási megoldásaira összpontosító likviditási protokoll versenytársaihoz hasonlóan kölcsönzési lehetőséget biztosít a felhasználók számára.
A protokollt azonban múlt héten két alkalommal is megtámadták és a rosszindulatú behatolás során szinte a teljes likviditást sikerült megszerezniük a behatolóknak. Az első támadás április 26-án a CCTP-n, vagyis az USDC láncok közötti átviteli protokollján keresztül, a Gelato-n történt, ahol a sérülékenység lehetővé tette a támadók számára, hogy módosítsák a fogadói címet és az összegeket, melyeket a Pike Finance adminisztrátora csapata már érvényesnek titulált. A Pike Finance elmondása alapján a projekt könyvvizsgáló partnere, az OtterSec a támadást megelőzően nem tudott a biztonsági résről, szóval mindkét felet váratlanul érte a behatolás.
A második támadás azután történt, hogy a Pike csapata frissítette szerződéseit, hogy a hálózatot szüneteltetni tudja. A frissítés hatására a szerződések pedig szabadon módosíthatóvá váltak a támadók számára, így megkerülve az adminisztrátori hozzáférést a szabad pénzkivonás érdekében.
Nem a Circle sebezhetősége tehet a támadásról
A Pike Finance csapata négy nap alatt két támadással nézett szembe, a projekt vezetősége pedig hivatalos X-felületükön reagált a behatolásokra. Az első posztban egyértelműen az USDC sebezhetőségét jelölik meg a támadás okának, ezt azonban szinte azonnal javították. A bejegyzés szerzője szerint pontatlan volt a megfogalmazás és vállalják a felelősséget a történtekért, természetesen nem a 33 milliárd dolláros kapitalizációval és robusztus hálózattal rendelkező Circle hibázott, hanem a támadó fél technológiai fölényére nem volt felkészülve sem a Pike, sem pedig az OtterSec.
A Pike Finance protokoll jelentős veszteségeket szenvedett mindkét támadás során, a Certik adatai szerint 2 millió dolláros értékben került ARB, OP, ETH és USDC eltulajdonításra, melynek köszönhetően a Pike Finance teljes TVL-jét elveszítette.
Csökkenő trendet mutatnak a rosszindulatú behatolások
Annak ellenére, hogy a Pike Finance egyike volt azoknak az elszenvedő alanyoknak, akiknek rosszindulatú behatolással kellett szembenézniük, a Crypto News hírportál szerint jelentős mértékben, 67%-kal csökkent a hackertámadások száma áprilisban márciushoz képest. A PeckShieldAlert adatai szerint áprilisban mindössze 60,2 millió dollárnyi eltulajdonítás történt, melynek a nagy része a Hedgey Finance-hoz köthető, ahonnan április 19-én nagyjából 47 millió dollárt loptak el a behatolók.
A Fix Float váltó nagyjából 3 millió dolláros kárral, míg a Grand Base 2,67 millió dolláros kárral kellett elszámoljon a vizsgált hónapban, a negyedik legnagyobb támadás pedig a cikkünkben feldolgozott, Pike elleni behatolás volt.
Az év eleje óta 401 millió dollár értékben számoltak be hackertámadásról és scam-projektekről, mely 25%-os csökkenés 2023-hoz képest, amikor is 536 millió dollárnyi visszaélésről számolt be az Immunefi.