Pike Finance, un protocole de prêt financier décentralisé (DeFi), a été attaqué à deux reprises en quelques jours. Les attaquants ont utilisé une vulnérabilité de contrat intelligent pour voler des actifs numériques valant des millions. Le premier raid a eu lieu le 26 avril et la perte s'est élevée à 300 000 $. Le deuxième, le 30 avril, a fait perdre à l’entreprise 1,68 million de dollars, ce qui a affecté ses opérations sur les réseaux blockchain Ethereum, Arbitrum et Optimism.
Les attaquants ont profité d'un bug de contrat intelligent, qui leur a permis de modifier l'adresse de sortie et ainsi de retirer sans autorisation plus de 1,4 million de dollars en Ethereum, 150 000 $ en jetons Optimism et 100 000 $ en jetons Arbitrum. Après l'incident, Pike Finance a offert une récompense de 20 % du montant des actifs volés sur information permettant la récupération des fonds ou la restitution des actifs volés.
#CertiKInsight 🚨Du jour au lendemain, @PikeFinance a été exploité pour environ 1,68 million de dollars. L'attaquant a exécuté la fonction d'initialisation, en ajoutant son adresse à la variable _isActive. L'attaquant a ensuite pu effectuer une mise à niveauToAndCall et passer à une implémentation malveillante pic.twitter.com/FyxwlCYkad
– Alerte CertiK (@CertiKAlert) 1er mai 2024
Réponse de la communauté et du protocole
Concernant les violations, Pike Finance a mis en œuvre un certain nombre d'actions pour éviter de nouvelles pertes et répondre aux inquiétudes de la communauté. Ils ont recommandé aux utilisateurs de révoquer toutes leurs approbations pour protéger leurs fonds et ont commencé à rembourser certains dépôts de prévente. Le protocole examine de près les incidents et a informé les utilisateurs de s'attendre à des instructions supplémentaires.
La communauté s'est montrée très inquiète face aux exploits récurrents, surtout en si peu de temps. Ce sentiment a été exacerbé par la lenteur perçue de la réaction initiale au premier incident, qui, selon certains, aurait pu empêcher la deuxième attaque.
Attention aux utilisateurs : le 30 avril 2024, le protocole Pike Beta a été exploité pour 99 970,48 ARB, 64 126 OP et 479,39 ETH. Cet exploit est lié à la vulnérabilité initiale USDC qui a été signalée la semaine dernière, le 26 avril. Afin de faire une pause le protocole, le rayon…
– Brochet (@PikeFinance) 1er mai 2024
Les piratages de crypto-monnaie en déclin
Cependant, malgré les cas de Pike Finance, un rapport de CertiK informe que le secteur des cryptomonnaies a signalé une diminution du montant total des pertes dues aux piratages et aux escroqueries. Avril a enregistré le chiffre mensuel minimum depuis 2021 de 25,7 millions de dollars de pertes dues à de telles occasions. Il s'agit d'une forte baisse par rapport aux mois précédents, en raison d'une diminution du nombre de compromissions de clés privées et de mesures de sécurité plus strictes en général.
Cependant, plus de 502 millions de dollars ont encore été perdus à cause des piratages et des exploits au premier trimestre 2024, ce qui indique que la sécurité reste un problème critique pour la communauté des cryptomonnaies.