يقدم بروتوكول Penpie مكافأة بعد سرقة 27 مليون دولار من العملات المشفرة وغسل الأموال المسروقة عبر Tornado Cash

في ضربة مدمرة لمجتمع التمويل اللامركزي (DeFi)، تعرض بروتوكول Penpie، الذي تم بناؤه على منصة العائد الرمزي Pendle، لاستغلال بقيمة 27 مليون دولار في 3 سبتمبر 2024.

تمكن المهاجم من سرقة مجموعة من الأصول الرقمية، بما في ذلك Ether (ETH) المتراكم، وsUSDE التابع لـ Ethena، وUSDC المغلف.

ردًا على ذلك، قامت Penpie بتعليق جميع عمليات الإيداع والسحب مع عرض مكافأة قابلة للتفاوض لإعادة الأموال المسروقة بشكل آمن.

وتعهد البروتوكول بعدم اتخاذ أي إجراء قانوني في حالة إرجاع الأموال والحفاظ على سرية هوية المهاجم، مؤكدا على أهمية هذه الأموال لمجتمعه.

مستغل يغسل الأموال من خلال Tornado Cash

تكشف بيانات من Etherscan أن الأموال المسروقة، والتي يبلغ مجموعها أكثر من 11113 ETH (حوالي 27 مليون دولار)، تم تبديلها مقابل ETH باستخدام بروتوكول Li.Fi قبل تحويلها إلى عنوان غسيل منفصل تم تحديده باسم "0x..cC3".

تم استخدام هذا العنوان لاحقًا لتحويل الأموال إلى Tornado Cash، وهو خلاط معروف للعملات المشفرة.

قبل الهجوم، تم تمويل محفظة الاستغلال بمبلغ 10 ETH، وتم تحويلها أيضًا عبر Tornado Cash قبل ساعات فقط من السرقة.

في وقت إعداد هذا التقرير، قام المهاجم بغسل 3000 ETH من خلال Tornado Cash عبر 30 معاملة، وكل معاملة تحرك 100 ETH.

لا يزال المهاجم يحتفظ بمبلغ 7,113.2 ETH (حوالي 17 مليون دولار) في عنوان يحمل اسم "0x2..C39".

كيف حدث الاستغلال

حددت شركة الأمن PeckShield أن الاستغلال تم باستخدام عقد خبيث يطلق عليه اسم "السوق الشريرة".

استغل هذا العقد ثغرة في آلية توزيع المكافآت الخاصة بـ Penpie من خلال تضخيم أرصدة المشاركة للمطالبة بمكافآت غير مستحقة.

وقد سمح الخلل، كما هو موضح في تقرير ما بعد الوفاة الخاص بـ Pendle، لأي شخص بإنشاء أسواق Pendle على Penpie دون قيود، وهو ما فتح الباب أمام هذا الاختراق الكبير.

وفي أعقاب الهجوم، أوقفت شركة Penpie Protocol جميع عملياتها، كما أوقفت شركة Pendle مؤقتًا جميع العقود كإجراء احترازي لمنع المزيد من الأضرار.

التأثير على الرمز الأصلي لـ Penpie

كان للاستغلال تأثير فوري على الرمز الأصلي لـ Penpie، PNP، والذي شهد انخفاض سعره بنحو 40% في أعقاب ذلك.

وانخفضت أيضًا العملة المشفرة الأصلية PENDLE بنسبة تزيد عن 8%.

على الرغم من أن سهم PNP حقق انتعاشًا متواضعًا منذ ذلك الحين، إلا أنه لا يزال منخفضًا بنسبة 28.8% على الرسم البياني لمدة 24 ساعة، مما يعكس حالة عدم اليقين المستمرة واهتزاز الثقة في البروتوكول.

تضاف هذه الحادثة إلى قائمة متزايدة من الخروقات الأمنية في مجال التشفير.

وفقًا لشركة PeckShield، أدت عمليات اختراق العملات المشفرة إلى خسائر تقدر بنحو 266 مليون دولار في يوليو، وارتفعت إلى 313 مليون دولار في أغسطس.

كانت هجمات التصيد الاحتيالي منتشرة بشكل خاص، حيث شكلت ما يصل إلى 93.5% من جميع العملات المشفرة المسروقة في أغسطس.

ومن بين الخسائر الأكبر، خسر 9,145 ضحية ما يقرب من 63 مليون دولار بسبب هجمات التصيد الاحتيالي في شهر أغسطس وحده.

في إحدى الحالات الشديدة الخطورة، خسر أحد الحيتان 55.47 مليون دولار من DAI بعد توقيع معاملة خبيثة.

في وقت سابق من هذا العام، شهد هجوم كبير آخر استغلال منصة نشر memecoin Pump.fun مقابل ما يقرب من 2 مليون دولار في هجوم "منحنى الترابط". وتؤكد هذه الحوادث على التحديات الأمنية المستمرة التي تواجه مجال DeFi وتسلط الضوء على الحاجة الملحة إلى تدابير وقائية قوية لحماية أصول المستثمرين.

وبينما تسعى Penpie إلى التعافي من هذا الهجوم، فإن نتيجة عرض المكافأة لا تزال غير واضحة. ومع ذلك، فإن الحادث بمثابة تذكير صارخ بالمخاطر الكامنة في عالم التمويل اللامركزي سريع التطور.