Злоумышленники украли $1.6 миллиона в цифровых активах из децентрализованного финансового протокола Pike Finance

Уязвимость USDC

Децентрализованный финансовый (defi) протокол, Pike Finance, сообщил 1 мая, что его платформа была недавно взломана примерно на 1,6 миллиона долларов или 99 970,48 ARB, 64 126 OP и 479,39 ETH. Согласно Pike Finance, последний взлом, произошедший 30 апреля, связан с уязвимостью USDC, о которой впервые было сообщено четыре дня назад.

В заявлении, опубликованном через X, Pike Finance сказал, что предлагает награду в размере 20% за возврат средств, пока продолжается расследование инцидента. Та же награда также предлагается за информацию, которая приведет к возврату украденных средств.

Описывая последовательность событий, приведших к атаке, Pike Finance предположил, что включение дополнительной зависимости в код смарт-контракта могло помочь спровоцировать атаку.

«Эта зависимость ввела новые переменные, которые изменили структуру хранения – в частности, положение инициализированной переменной. В результате, позиция, занимаемая инициализированной переменной, была захвачена другими переменными, что привело к несоответствию в сопоставлении хранения. Это несоответствие заставило контракт вести себя так, как если бы он не был инициализирован, поскольку доступ к переменной инициализации больше не мог быть получен», – сказал Pike Finance.

В заявлении добавлено, что злоумышленникам удалось обновить контракты спиц, что в свою очередь позволило им обойти доступ администратора, а следовательно, украсть средства. Pike Finance сказал, что планирует в более поздний срок выпустить отчет и план о том, как возместить пользователей в целом.

Какое у вас мнение о объяснении Pike Finance того, что произошло? Поделитесь своими мыслями в разделе комментариев ниже.