Pike Finance Alami Eksploitasi 2 Kali dalam 3 Hari, US$1,6 Juta Lebih Raib

 Pada Rabu (1/5) pagi, perusahaan keamanan blockchain Cyvers mendeteksi beberapa transaksi anomali pada lending protocol cross-chain Pike Finance. Cyvers selanjutnya mengungkapkan bahwa transaksi mencurigakan ini mengakibatkan kerugian finansial yang fantastis, yakni sekitar US$1,6 juta.

Aktivitas ilegal ini khususnya berlangsung di blockchain Ethereum (ETH), Arbitrum (ARB), dan Optimism (OP). Pelaku serangan memanfaatkan Railgun, sebuah alat yang berfokus pada privasi, di Arbitrum untuk melancarkan serangan siber mereka.

Platform pengawasan on-chain CertiK dengan sigap melacak asal-usul serangan ke tanggal 30 April. Temuan ini mengungkapkan bahwa penyerang menggunakan sebuah metode untuk menyisipkan kode berbahaya dengan menjalankan fungsi “initialize” atau inisialisasi. Itu kemudian mereka manfaatkan untuk memanipulasi sistem smart contract Pike Finance.

“Penyerang berhasil menginisialisasi [smart] contract Pike Finance, di mana pada saat itu variabel ‘_isActive‘ disetel ke alamat penyerang. Penyerang kemudian dapat menggunakan privilese ini untuk memanggil fungsi upgradeToAndCall contract dan mengubah implementasinya menjadi seperti yang mereka buat. Alhasil, mereka pun dapat menguras aset-aset contract,” kata perwakilan CertiK kepada BeInCrypto.

Menyusul peringatan tersebut, Pike Finance akhirnya mengeluarkan pernyataan yang merinci eksploitasi dan dampaknya melalui akun X resmi mereka. Protokol ini mengeklaim kerugian sebesar 99.970,48 ARB, 64.126 OP, dan 479,39 ETH dari insiden ini.

Menurut rincian yang Pike Finance sajikan, penyerang memutakhirkan contract “spoke” di bawah kerangka kerja yang sebelumnya mereka susupi. Mereka kemudian mengeksploitasi pemetaan penyimpanan yang tidak selaras dari smart contract ini.

“Akibatnya, penyerang kemudian dapat memperbarui contract ‘spoke‘, menghindari akses admin, dan menarik dana,” tulis tim Pike Finance.

Pike Finance juga menyoroti komitmen mereka untuk menyelidiki pelanggaran lebih lanjut. Selain itu, perusahaan ini juga menawarkan hadiah sebesar 20% untuk setiap informasi yang mengarah pada pemulihan aset yang tercuri. Pihaknya juga akan membahas dan mengumumkan rencana untuk memberikan kompensasi kepada pengguna yang terdampak.

Pada dasarnya, eksploitasi terbaru ini memiliki kaitan dengan kerentanan dalam penarikan USD Coin (USDC) mereka pada tanggal 26 April lalu. Pike Finance mengakui bahwa kerentanan tersebut adalah “akibat dari lemahnya langkah-langkah keamanan” dalam fungsi yang mengelola transfer USDC melalui protokol CCTP. Sebuah cacat yang fatal ditemukan pada fungsi yang dimaksudkan untuk membakar USDC pada chain sumber dan mencetak pada chain target, yang diotomatisasi oleh layanan Gelato.

“Perlindungan yang tidak memadai pada fungsi ini memungkinkan penyerang untuk memanipulasi alamat dan jumlah penerima, yang diproses oleh protokol Pike sebagai valid,” demikian pernyataan Pike Finance dalam sebuah laporan Post-Mortem.

Eksploitasi ini mengakibatkan raibnya 299.127 USDC, yang memengaruhi tiga jaringan sekaligus — Ethereum, Arbitrum, dan Optimism. Namun, Pike Finance mengeklaim bahwa insiden ini hanya memengaruhi aset USDC, sedangkan semua aset lainnya aman.

sumber : https://id.beincrypto.com/pike-finance-eksploitasi-dua-kali-tiga-hari/