30 квітня зловмисники атакували DeFi-протокол Pike Finance і вивели 99 970 ARB, 64 126 OP і 479 ETH на загальну суму близько $1,68 млн.
Attention Users:
On the 30th of April 2024, the Pike Beta protocol was exploited for 99,970.48 ARB, 64,126 OP and 479.39 ETH.
This exploit is related to the initial USDC vulnerability that was reported last week on the 26th of April.
In order to pause the protocol, the spoke…
— Pike (@PikeFinance) May 1, 2024
За кілька днів до інциденту, 26 квітня, хакери скористалися іншою вразливістю, вкравши приблизно $300 000 в USDC.
Згідно із заявою розробників Pike, через помилку в смартконтракті, що ініціалізує, злочинцям вдалося обійти периферійну систему захисту без доступу адміністратора і в результаті вивести кошти.
Команда протоколу запропонувала винагороду в розмірі 20% від вкрадених активів за їх повернення або інформацію про злочинця.
Коментуючи перший інцидент, у компанії зазначили, що вразливість пов’язана зі слабкими заходами безпеки в системі управління переказами USDC за протоколом CCTP.
«Недостатній захист давав змогу зловмисникам маніпулювати адресою одержувача і сумами, які оброблялися протоколом Pike як дійсні», — ідеться у звіті.
Роботу протоколу на рівні смартконтрактів тимчасово призупинено. Команда проєкту почала розслідування у співпраці з кількома кросчейн-протоколами та Binance.
Нагадаємо, на початку квітня криптовалютна біржа FixedFloat зазнала другої з початку року атаки. Сума збитків склала щонайменше $2,8 млн. Напад на платформу здійснила та сама група зловмисників, яка стояла за зломом 16 лютого.
За даними CertiK, у квітні криптовалютний ринок зазнав найменших щомісячних збитків від різних кіберзлочинів за всю історію спостережень компанії з 2021 року. У сукупності проєкти втратили за місяць приблизно $25,7 млн — із березня показник знизився на 141%.