Pike Finance làm rõ tuyên bố về ‘lỗ hổng USDC’ về việc khai thác 1,6 triệu đô la

by

Là một nhà nghiên cứu có nhiều kinh nghiệm trong lĩnh vực tài chính phi tập trung (DeFi), tôi đã theo dõi chặt chẽ những phát triển gần đây liên quan đến giao thức Pike và hoạt động khai thác USDC Coin (USDC) xảy ra vào ngày 30 tháng 4. Dựa trên phân tích của tôi về thông tin có sẵn, có vẻ như tuyên bố ban đầu của Pike về lỗ hổng USDC là không hoàn toàn chính xác.

Với tư cách là một nhà đầu tư tiền điện tử, tôi đã nhận được một số tin tốt từ giao thức Tài chính phi tập trung (DeFi) Pike liên quan đến lỗ hổng USDC Coin (USDC) mà họ đã tiết lộ trước đó. Trong bản cập nhật gần đây, họ đã làm rõ tuyên bố ban đầu của mình để cung cấp thêm bối cảnh về tình huống này. Thông báo này được đưa ra sau vụ khai thác đáng tiếc xảy ra vào ngày 30 tháng 4, dẫn đến thiệt hại khoảng 1,6 triệu USD.

Vào ngày 1 tháng 5, Pike tiết lộ rằng việc khai thác ảnh hưởng đến nền tảng của họ có liên quan đến lỗ hổng trong USDC chứ không phải chính phạm vi sản phẩm của USDC.

“Việc khai thác này có liên quan đến lỗ hổng USDC ban đầu được báo cáo vào tuần trước vào ngày 26 tháng 4.”

Giao thức DeFi đã sửa lại thông báo trước đó của họ, làm rõ rằng ngôn ngữ được sử dụng không nắm bắt được đầy đủ bản chất của sự cố đã xảy ra.

Pike Finance làm rõ tuyên bố về ‘lỗ hổng USDC’ về việc khai thác 1,6 triệu đô la

Pike chỉ ra rằng lỗ hổng này xuất phát từ sự giám sát của CircumventingCircle trong việc đảm bảo các chức năng hợp đồng của họ trong khi chuyển tiền bằng Giao thức chuyển tiền chuỗi chéo (CCTP) do nhà phát hành USDC, Circle cung cấp.

Pike giải thích rằng vấn đề cơ bản của lỗ hổng bảo mật không liên quan đến các tính năng sản phẩm của Circle.

Trong cuộc điều tra mới nhất của mình, tôi phát hiện ra rằng Pike Finance đã tiết lộ trong một tuyên bố trước đó rằng đối tác kiểm toán của họ đã xác định được điểm yếu gây ra cuộc tấn công mạng đầu tiên vào ngày 26 tháng 4. Tuy nhiên, họ đề cập rằng nhóm của họ không thể khắc phục vấn đề vào thời điểm đó.

“Điều quan trọng là phải làm rõ rằng lỗ hổng này đã được xác định trước đó bởi đối tác kiểm toán của chúng tôi, OtterSec. Nhóm nhà phát triển của chúng tôi không thể giải quyết kịp thời lỗ hổng đã xác định.”

Pike chỉ ra rằng lỗ hổng bảo mật phát sinh do nhóm của họ triển khai không phù hợp các công cụ bên ngoài như CCTP và các dịch vụ tự động của Gelato Network.

Cuộc tấn công ban đầu đã dẫn đến việc đánh cắp tài sản kỹ thuật số trị giá 300.000 USD.

Vào ngày 30 tháng 4, kẻ tấn công đã khai thác điểm yếu trong hợp đồng thông minh của giao thức, dẫn đến vụ trộm tài sản trị giá khoảng 1,68 triệu USD. Điều này bao gồm 1,4 triệu đô la Ether (ETH), 150.000 đô la token Optimism (OP) và khoảng 100.000 đô la token Arbitrum (ARB).

Tôi xác định rằng hai cuộc tấn công riêng biệt đều xuất phát từ cùng một vấn đề cơ bản với hợp đồng thông minh. Thiết kế của giao thức đã vô tình tạo ra sự sai lệch, theo thời gian, cho phép kẻ tấn công phá vỡ các biện pháp kiểm soát hành chính và cuối cùng là rút tiền khỏi hợp đồng.

Bất chấp các mối đe dọa bảo mật dai dẳng trong lĩnh vực tiền điện tử, dữ liệu hiện có cho thấy các sự cố hack liên quan đến tiền điện tử và tổn thất tài chính tiếp theo của chúng đã giảm đáng kể trong tháng 4, so với cả tháng 2 và tháng 3.

Là một nhà nghiên cứu đang nghiên cứu các xu hướng trong các vụ hack tiền điện tử, tôi phát hiện ra rằng số tiền thiệt hại được báo cáo từ các vụ hack trong tháng 4 đã giảm đáng kể xuống còn khoảng 60 triệu USD, đánh dấu mức giảm đáng kể so với mức kỷ lục 360,8 triệu USD của tháng 2 và 187,6 triệu USD của tháng 3.

2024-05-02 10:52