Trusted

Pike Finance Alami Eksploitasi 2 Kali dalam 3 Hari, US$1,6 Juta Lebih Raib

2 mins
Diperbarui oleh Zummia Fakhriani
Gabung Komunitas Trading Kami di Telegram

Ringkasan

  • Kerentanan smart contract Pike Finance akibatkan kerugian sebesar US$1,6 juta.
  • Eksploitasi ini terjadi menyusul insiden terkait USDC sebelumnya pada 26 April.
  • Tim Pike menawarkan hadiah dan berencana memberi kompensasi bagi pengguna yang terdampak.
  • promo

Pada Rabu (1/5) pagi, perusahaan keamanan blockchain Cyvers mendeteksi beberapa transaksi anomali pada lending protocol cross-chain Pike Finance. Cyvers selanjutnya mengungkapkan bahwa transaksi mencurigakan ini mengakibatkan kerugian finansial yang fantastis, yakni sekitar US$1,6 juta.

Aktivitas ilegal ini khususnya berlangsung di blockchain Ethereum (ETH), Arbitrum (ARB), dan Optimism (OP). Pelaku serangan memanfaatkan Railgun, sebuah alat yang berfokus pada privasi, di Arbitrum untuk melancarkan serangan siber mereka.

Pike Finance Diguncang Eksploitasi 2 Kali dalam 3 Hari

Platform pengawasan on-chain CertiK dengan sigap melacak asal-usul serangan ke tanggal 30 April. Temuan ini mengungkapkan bahwa penyerang menggunakan sebuah metode untuk menyisipkan kode berbahaya dengan menjalankan fungsi “initialize” atau inisialisasi. Itu kemudian mereka manfaatkan untuk memanipulasi sistem smart contract Pike Finance.

“Penyerang berhasil menginisialisasi [smart] contract Pike Finance, di mana pada saat itu variabel ‘_isActive‘ disetel ke alamat penyerang. Penyerang kemudian dapat menggunakan privilese ini untuk memanggil fungsi upgradeToAndCall contract dan mengubah implementasinya menjadi seperti yang mereka buat. Alhasil, mereka pun dapat menguras aset-aset contract,” kata perwakilan CertiK kepada BeInCrypto.

Transaksi Mencurigakan di Pike Finance.
Transaksi Mencurigakan di Pike Finance | Sumber: Cyvers

Menyusul peringatan tersebut, Pike Finance akhirnya mengeluarkan pernyataan yang merinci eksploitasi dan dampaknya melalui akun X resmi mereka. Protokol ini mengeklaim kerugian sebesar 99.970,48 ARB, 64.126 OP, dan 479,39 ETH dari insiden ini.

Menurut rincian yang Pike Finance sajikan, penyerang memutakhirkan contract spoke” di bawah kerangka kerja yang sebelumnya mereka susupi. Mereka kemudian mengeksploitasi pemetaan penyimpanan yang tidak selaras dari smart contract ini.

“Akibatnya, penyerang kemudian dapat memperbarui contract spoke‘, menghindari akses admin, dan menarik dana,” tulis tim Pike Finance.

Pike Finance juga menyoroti komitmen mereka untuk menyelidiki pelanggaran lebih lanjut. Selain itu, perusahaan ini juga menawarkan hadiah sebesar 20% untuk setiap informasi yang mengarah pada pemulihan aset yang tercuri. Pihaknya juga akan membahas dan mengumumkan rencana untuk memberikan kompensasi kepada pengguna yang terdampak.

Pada dasarnya, eksploitasi terbaru ini memiliki kaitan dengan kerentanan dalam penarikan USD Coin (USDC) mereka pada tanggal 26 April lalu. Pike Finance mengakui bahwa kerentanan tersebut adalah “akibat dari lemahnya langkah-langkah keamanan” dalam fungsi yang mengelola transfer USDC melalui protokol CCTP. Sebuah cacat yang fatal ditemukan pada fungsi yang dimaksudkan untuk membakar USDC pada chain sumber dan mencetak pada chain target, yang diotomatisasi oleh layanan Gelato.

“Perlindungan yang tidak memadai pada fungsi ini memungkinkan penyerang untuk memanipulasi alamat dan jumlah penerima, yang diproses oleh protokol Pike sebagai valid,” demikian pernyataan Pike Finance dalam sebuah laporan Post-Mortem.

Eksploitasi ini mengakibatkan raibnya 299.127 USDC, yang memengaruhi tiga jaringan sekaligus — Ethereum, Arbitrum, dan Optimism. Namun, Pike Finance mengeklaim bahwa insiden ini hanya memengaruhi aset USDC, sedangkan semua aset lainnya aman.

Bagaimana pendapat Anda tentang eksploitasi yang menyerang Pike Finance ini? Yuk, sampaikan pendapat Anda di grup Telegram kami. Jangan lupa follow akun Instagram dan Twitter BeInCrypto Indonesia, agar Anda tetap update dengan informasi terkini seputar dunia kripto!

Platform kripto terbaik di Indonesia | November 2024
Platform kripto terbaik di Indonesia | November 2024
Platform kripto terbaik di Indonesia | November 2024

Penyangkalan

Seluruh informasi yang terkandung dalam situs kami dipublikasikan dengan niat baik dan bertujuan memberikan informasi umum semata. Tindakan apa pun yang dilakukan oleh para pembaca atas informasi dari situs kami merupakan tanggung jawab mereka pribadi.
Selain itu, sebagian artikel di situs ini merupakan hasil terjemahan AI dari versi asli BeInCrypto yang berbahasa Inggris.

Zummia.jpg
Zummia Fakhriani
Zummia adalah seorang penulis, penerjemah, dan jurnalis dengan spesialisasi pada topik blockchain dan kripto. Ia mengawali sepak terjang di industri kripto sebagai trader kasual sejak 2015. Kemudian, mulai berkiprah sebagai penerjemah profesional di industri sejak 2018 sembari mengenyam tahun ketiganya di program studi Sastra Inggris kala itu. Menyukai topik terkait DeFi, koin privasi, dan Web3.
READ FULL BIO
Disponsori
Disponsori