Цей звіт має на меті прозоро викласти обставини, що призвели до фінансових втрат, і запевнити наших користувачів у тому, що ми зобов'язуємося вжити негайних заходів для повернення викрадених коштів.
26 квітня 2024 року, 00:13:59 UTC, в Pike Finance стався злам системи безпеки через використання вразливості в протоколі Pike. Це призвело до фінансових втрат у розмірі 299 127 USDC, понесених у 3 мережах - Ethereum, Arbitrum та Optimism.
Постраждав лише актив USDC, всі інші активи в безпеці.
Вразливість пов'язана зі слабкими заходами безпеки у функціях, що керують переказами USDC через протокол CCTP. Зокрема, критичний недолік був у функціях, призначених для спалювання USDC на ланцюжку-джерелі та карбування на ланцюжку-цілі (автоматизовано за допомогою сервісів автоматизації Gelato).
Недостатній захист цієї функції дозволяв зловмисникам маніпулювати адресою одержувача та сумами, які оброблялися протоколом Pike як дійсні.
Важливо уточнити, що ця уразливість була раніше виявлена нашим партнером по аудиту, компанією OtterSec. Наша команда розробників не змогла вчасно усунути виявлену уразливість.
Ми визнаємо, що цей недогляд призвів до експлуатації, і підкреслюємо, що вразливість не пов'язана з внутрішніми проблемами протоколу CCTP або сервісів автоматизації Gelato - натомість вона стала наслідком неправильної інтеграції команди протоколу зі згаданими технологіями сторонніх розробників.
Протокол CCTP передбачає карбування USDC окремо, використовуючи атестації від Circle Iris - позамережевого сервісу, який відстежує події burn на вихідних ланцюжках і дає дозвіл на карбування на цільових ланцюжках. Для автоматизації майнінгу була реалізована інтеграція з сервісом Gelato.
Важливо зазначити, що ні CCTP, ні Gelato не призначені для перевірки достовірності адрес одержувачів або сум грошових переказів. Відповідальність за ці перевірки лежить виключно на Pike як інтеграторі.
24 квітня 2024 року протокол Pike дозволив і публічно оголосив про можливість виведення USDC через CCTP. Через два дні, 26 квітня 2024 року, 00:13:59 UTC, зловмисник скористався цією вразливістю, що призвело до несанкціонованого виведення 299 127 USDC.
Того ж дня, 26 квітня 2024 року, команда Pike вжила заходів, зупинивши всі операції в рамках протоколу Pike, щоб ізолювати і мінімізувати втрати, і почала розслідування експлойту з третіми сторонами.
Початкове фінансування - на адресу зловмисника спочатку надходили кошти через Binance, а потім серія переказів через мости Orbiter і Stargate.
Конвертація активів - викрадені кошти USDC були обміняні на ETH і згодом виведені за допомогою Tornado.Cash.
Протокол Pike призупинили на рівні смарт-контрактів
На адресу зловмисника було надіслано IDM Etherscan з проханням про співпрацю
Були проведені консультації з нашими партнерами з аудиту, щоб визначити вплив
Налагоджено співпрацю з експертами з питань права та безпеки
Було розпочато комунікацію з партнерами по інтеграції CCTP та Gelato для отримання логів та будь-яких додаткових даних, які могли б допомогти дізнатися більше про експлойт та зловмисника
Для отримання додаткової інформації були зроблені запити до служби підтримки та мостових служб Binance
Станом на сьогодні жодних коштів ще не повернуто. Встановити контакт зі зловмисником не вдалося.
Ми звертаємося до юридичних та правоохоронних органів з проханням допомогти у повному відстеженні.
Хоча цей урок є надзвичайно дорогим, ми прагнемо винести уроки з цього інциденту та вжити заходів для виправлення ситуації:
Вимкнути виведення USDC через CCTP у поточній версії Pike
Запровадити відкладене зняття коштів для всіх активів з метою подальшого посилення безпеки
Призупинити операції протоколу, щоб дозволити користувачам керувати своїми коштами
Ці заходи передбачають повернення до версії протоколу Pike до увімкнення функції CCTP, а також запровадження відкладеного виведення коштів - як додатковий захід безпеки.
Ми продовжимо тісно співпрацювати з нашими партнерами-аудиторами, щоб гарантувати, що будь-які зміни коду підвищать безпеку протоколу Pike і безпеку коштів користувачів.
Подальша інформація про графік реалізації та пропозиції щодо рекапіталізації збитків буде повідомлена найближчими днями - слідкуйте за анонсами.