El 1 de mayo, el protocolo DeFi Pike Finance corrigió su descripción de un exploit reciente y dijo que no fue causado por una vulnerabilidad del USDC, como se indicó anteriormente.
Según el último comunicado de la empresa:
“El término ‘vulnerabilidad del USDC’ period inexacto para resumir el exploit de la semana pasada”.
En cambio, las debilidades en las funciones contractuales de Pike, particularmente los problemas relacionados con el manejo de transferencias en el Protocolo de transferencia entre cadenas (CCTP) de Circle, permitieron que ocurriera el incidente.
Agregó que la causa raíz del exploit no estaba relacionada con la “funcionalidad y robustez” del USDC de Circle habilitado por CCTP o Gelato, un protocolo de automatización de contratos inteligentes.
Pike Finance originalmente admitió toda la responsabilidad en su explicación del primer ataque del 26 de abril, señalando que el exploit period una “consecuencia del protocolo”. [team’s] integración inadecuada” de tecnologías de terceros y que las responsabilidades de ciertos controles recaen “únicamente en Pike como integrador”.
Sin embargo, al referirse retrospectivamente al primer ataque después del incidente del 30 de abril, dijo engañosamente que podría haber estado relacionado con una “vulnerabilidad del USDC”.
Cada ataque provocó pérdidas considerables para Pike Finance.
En el ataque del 30 de abril se produjo el robo de 99.970,48 ARB, 64.126 OP y 479,39 ETH. El incidente provocó una pérdida de 1,7 millones de dólares, según datos de Certik.
El ataque anterior del 26 de abril implicó la pérdida de 299,127 USDC en Ethereum, Arbitrum y Optimism, según declaraciones de Pike Finance.
Causa de cada ataque
El primer ataque el 26 de abril fue el resultado de funciones relacionadas con transferencias USDC en CCTP automatizadas por Gelato. La vulnerabilidad permitió a los atacantes cambiar la dirección y los montos del destinatario, que Pike Finance procesó como válidos debido a su integración inadecuada de las funciones.
Pike Finance dijo que su socio auditor, OtterSec, le informó del problema. El protocolo agregó que no pudo abordar la vulnerabilidad antes del ataque.
El segundo ataque se produjo después de que Pike Finance actualizara sus contratos radiales para pausar la crimson. En última instancia, la actualización provocó que el contrato se comportara como si no estuviera inicializado, lo que permitió a los atacantes actualizar el contrato, evitar el acceso de administrador y retirar fondos.
Pike Finance es uno de los muchos proyectos DeFi que han sido víctimas de exploits. Sin embargo, abril mostró pérdidas reducidas por estafas y exploits, según informes recientes.
