Pike Finance admet avoir commis une erreur suite à un exploit de 1,7 million de dollars et nie la faute de l’USDC
Sur 1er maile protocole DeFi Pike Finance a corrigé sa description d’un exploit récent et a déclaré qu’il n’était pas causé par une vulnérabilité de l’USDC, comme indiqué précédemment.
Selon le dernier communiqué de l’entreprise :
« Le terme ‘vulnérabilité USDC’ était inexact pour résumer l’exploit de la semaine dernière. »
Au lieu de cela, des faiblesses dans les fonctions contractuelles de Pike, en particulier des problèmes liés au traitement des transferts sur le protocole de transfert inter-chaînes (CCTP) de Circle, ont permis à l’incident de se produire.
Il a ajouté que la cause première de l’exploit n’était pas liée à la « fonctionnalité et à la robustesse » de l’USDC de Circle activé par CCTP ou Gelato – un protocole d’automatisation de contrats intelligents.
Pike Finance avait initialement reconnu l’entière responsabilité dans son explication de la première attaque du 26 avril, notant que l’exploit était une « conséquence du protocole ». [team’s] intégration inappropriée » de technologies tierces et que la responsabilité de certains contrôles incombe « uniquement à Pike en tant qu’intégrateur ».
Cependant, en faisant référence rétrospectivement à la première attaque après l’incident du 30 avril, il a déclaré de manière trompeuse qu’elle pourrait avoir été liée à une « vulnérabilité USDC ».
Chaque attaque a entraîné des pertes importantes pour Pike Finance.
L’attaque du 30 avril a vu le vol de 99 970,48 ARB, 64 126 OP et 479,39 ETH. L’incident a entraîné une perte de 1,7 million de dollars, selon les données de Certik.
L’attaque précédente du 26 avril a entraîné une perte de 299 127 USDC sur Ethereum, Arbitrum et Optimism, selon les déclarations de Pike Finance.
Cause de chaque attaque
La première attaque du 26 avril résultait de fonctions liées aux transferts USDC sur CCTP automatisées par Gelato. La vulnérabilité a permis aux attaquants de modifier l’adresse et les montants du destinataire, que Pike Finance a traités comme valides en raison de sa mauvaise intégration des fonctionnalités.
Pike Finance a déclaré que son partenaire d’audit, OtterSec, l’avait informé du problème. Le protocole a ajouté qu’il n’était pas en mesure de remédier à la vulnérabilité avant l’attaque.
La deuxième attaque s’est produite après que Pike Finance a mis à niveau ses contrats de rayons pour suspendre le réseau. La mise à jour a finalement fait en sorte que le contrat se comporte comme s’il n’était pas initialisé, permettant aux attaquants de mettre à niveau le contrat, de contourner l’accès administrateur et de retirer des fonds.
Pike Finance est l’un des nombreux projets DeFi qui ont été victimes d’exploits. Cependant, le mois d’avril a montré une réduction des pertes dues aux escroqueries et aux exploits, selon des rapports récents.
L’article Pike Finance admet avoir commis une erreur suite à un exploit de 1,7 million de dollars et nie la faute de l’USDC apparaît en premier sur CryptoSlate.