Penpie Protocol tilbyder dusør efter $27 millioner krypto-tyveri, stjålne midler hvidvasket via Tornado Cash

I et ødelæggende slag for det decentraliserede finanssamfund (DeFi) led Penpie Protocol, bygget oven på den tokeniserede udbytteplatform Pendle, en udnyttelse på $27 millioner den 3. september 2024.

Angriberen formåede at fjerne en række digitale aktiver, inklusive satsede Ether (ETH), Ethenas sUSDE og indpakket USDC.

Som svar har Penpie suspenderet alle ind- og udbetalinger, mens han tilbyder en omsættelig dusør for sikker tilbagelevering af de stjålne midler.

Protokollen har lovet ikke at forfølge retslige skridt, hvis midlerne returneres, og at bevare angriberens anonymitet, hvilket understreger betydningen af disse midler for dets samfund.

Udbytter hvidvasker penge gennem Tornado Cash

Data fra Etherscan afslører, at de stjålne midler, i alt over 11.113 ETH (ca. $27 millioner), blev byttet til ETH ved hjælp af Li.Fi-protokollen, før de blev overført til en separat hvidvaskeadresse identificeret som "0x..cC3."

Denne adresse blev efterfølgende brugt til at overføre midlerne til Tornado Cash, en velkendt cryptocurrency-mixer.

Før angrebet blev exploit-pungen finansieret med 10 ETH, også overført via Tornado Cash få timer før røveriet.

På tidspunktet for rapporteringen havde angriberen hvidvasket 3.000 ETH gennem Tornado Cash på tværs af 30 transaktioner, der hver flyttede 100 ETH.

Angriberen har stadig 7.113,2 ETH (omkring $17 millioner) på en adresse mærket "0x2..C39."

Hvordan udnyttelsen skete

Sikkerhedsfirmaet PeckShield identificerede, at udnyttelsen blev udført ved hjælp af en ondsindet kontrakt kaldet "ondt marked."

Denne kontrakt udnyttede en sårbarhed i Penpies belønningsfordelingsmekanisme ved at oppuste indsatssaldi for at kræve uoptjente belønninger.

Fejlen, som skitseret i Pendles post-mortem-rapport, tillod enhver at skabe Pendle-markeder på Penpie uden begrænsninger, hvilket åbnede døren til dette betydelige brud.

Efter angrebet standsede Penpie Protocol alle operationer, og Pendle satte midlertidigt alle kontrakter på pause som en sikkerhedsforanstaltning for at forhindre yderligere skade.

Indvirkning på Penpies oprindelige token

Udnyttelsen havde en øjeblikkelig indvirkning på Penpies oprindelige token, PNP, som så sin pris falde med omkring 40 % i kølvandet.

Pendles oprindelige token, PENDLE, faldt også over 8%.

Selvom PNP siden har foretaget et beskedent opsving, er det fortsat et fald på 28,8% på 24-timers diagrammet, hvilket afspejler den fortsatte usikkerhed og rystede tillid til protokollen.

Denne hændelse tilføjer til en voksende liste over sikkerhedsbrud i kryptoområdet.

Ifølge PeckShield resulterede kryptohack i cirka $266 millioner i tab i juli, hvilket steg til $313 millioner i august.

Phishing-angreb var særligt udbredt og tegnede sig for 93,5 % af alt stjålet krypto i august.

Blandt de mest betydelige tab mistede 9.145 ofre samlet omkring 63 millioner dollars til phishing-angreb alene i august.

I et særligt alvorligt tilfælde mistede en hval DAI til en værdi af 55,47 millioner dollars efter at have underskrevet en ondsindet transaktion.

Tidligere i år blev memecoin-udvikleren Pump.fun udnyttet for næsten $2 millioner i et "bonding curve"-angreb tidligere på året. Disse hændelser understreger de vedvarende sikkerhedsudfordringer, som DeFi-området står over for, og fremhæver det presserende behov for robuste beskyttelsesforanstaltninger for at beskytte investorernes aktiver.

Da Penpie søger at komme sig over dette angreb, mangler resultatet af dusørtilbuddet at blive set. Hændelsen tjener dog som en skarp påmindelse om de risici, der er forbundet med den hastigt udviklende verden af decentraliseret finans.