Cover photo

Звіт про розтин: Вразливість оновлення контракту Pike

Цей звіт має на меті прозоро викласти обставини, що призвели до фінансових втрат, і запевнити наших користувачів, що ми зобов'язуємося вжити негайних заходів для повернення викрадених коштів.

30 квітня Pike Finance зазнала другого значного порушення безпеки через використання вразливості, пов'язаної з нещодавнім оновленням контракту. Цей інцидент призвів до значних фінансових втрат у розмірі 99 970,48 ARB, 64 126 OP та 479,39 ETH.

Деталі вразливості

Уразливість виникла через недогляд під час оновлення контракту на поставку спиць, що було частиною заходів, вжитих для усунення початкової уразливості USDC, про яку було повідомлено 26 квітня.

Оновлення змінило структуру сховища контракту Spoke, зокрема, вплинуло на розташування ініціалізованих змінних. Ця невідповідність у відображенні сховища призвела до того, що контракт поводився так, ніби він був неініціалізований. В результаті зловмисники змогли обійти і виконати несанкціоноване оновлення та вилучення даних.

Відмова від відповідальності та визнання

Ми визнаємо, що цей недогляд стався під час спроби захистити протокол від першого експлойту. Важливо зазначити, що вразливість була спричинена не внутрішніми проблемами самого протоколу Pike, а наслідком поспішно виконаного оновлення за контрактом.

Хронологія інциденту

  • 2024-04-26: Початкова USDC уразливість використана.

  • 2024-04-26 - 2024-04-30: Зусилля щодо призупинення та оновлення функцій протоколу для підвищення безпеки.

  • 2024-04-30 21:47: Зловмисники скористалися уразливістю оновлення контракту, що призвело до несанкціонованого виведення коштів.

Зловмисник

  • Гаманець хакера: 0x19066f7431df29A0910d287C8822936Bb7D89E23

  • Конвертація активів: Викрадені активи були швидко переміщені та диверсифіковані між різними криптовалютами.

Поточний статус

Станом на сьогодні жодні кошти не були повернуті, а прямий контакт зі зловмисниками не встановлений. Розслідування триває, і ми тісно співпрацюємо із зовнішніми експертами для відстеження викрадених активів.

Заплановані наступні кроки

У відповідь на цей інцидент ми вживаємо коригувальних заходів, постійно співпрацюючи з експертами з безпеки та аудиторами, щоб забезпечити цілісність нашої платформи.

Ми прагнемо винести уроки з цих інцидентів і зміцнити наші системи для захисту активів наших користувачів.

Ми опублікуємо звіт про всіх користувачів Pike із зазначенням їхніх непогашених балансів, а відшкодування буде здійснено протягом наступного тижня або близько того.

Подальші новини про наш прогрес будуть повідомлені найближчими днями, тож, будь ласка, слідкуйте за нашим Твіттером.

Ми цінуємо терпіння та підтримку нашої спільноти у подоланні цих викликів.