Penpie Protocol bietet Kopfgeld nach Kryptoraub im Wert von 27 Millionen US-Dollar, gestohlene Gelder über Tornado Cash gewaschen

In einem verheerenden Schlag für die Community der dezentralisierten Finanzen (DeFi) wurde das Penpie Protocol, das auf der tokenisierten Ertragsplattform Pendle aufbaut, am 3. September 2024 Opfer eines Angriffs im Wert von 27 Millionen US-Dollar.

Dem Angreifer gelang es, eine Reihe digitaler Vermögenswerte abzuschöpfen, darunter Stake Ether (ETH), Ethenas sUSDE und Wrapped USDC.

Als Reaktion darauf hat Penpie sämtliche Ein- und Auszahlungen ausgesetzt und gleichzeitig eine verhandelbare Belohnung für die sichere Rückgabe der gestohlenen Gelder angeboten.

Das Protokoll hat versprochen, im Falle der Rückgabe der Gelder keine rechtlichen Schritte einzuleiten und die Anonymität des Angreifers zu wahren, und betont damit die Bedeutung dieser Gelder für die Community.

Der Täter wäscht Gelder über Tornado Cash

Daten von Etherscan zeigen, dass die gestohlenen Gelder im Gesamtwert von über 11.113 ETH (ungefähr 27 Millionen US-Dollar) mithilfe des Li.Fi-Protokolls in ETH getauscht und anschließend an eine separate Geldwäscheadresse mit der Identifikation „0x..cC3“ überwiesen wurden.

Diese Adresse wurde anschließend verwendet, um die Gelder in Tornado Cash zu leiten, einen bekannten Kryptowährungs-Mixer.

Vor dem Angriff war das Exploit-Wallet mit 10 ETH gefüllt, die ebenfalls nur wenige Stunden vor dem Raubüberfall über Tornado Cash überwiesen wurden.

Zum Zeitpunkt der Berichterstattung hatte der Angreifer 3.000 ETH über Tornado Cash gewaschen, und zwar in 30 Transaktionen mit jeweils 100 ETH.

Der Angreifer besitzt immer noch 7.113,2 ETH (rund 17 Millionen US-Dollar) unter einer Adresse mit der Bezeichnung „0x2..C39“.

So kam es zum Exploit

Das Sicherheitsunternehmen PeckShield stellte fest, dass der Exploit mithilfe eines bösartigen Vertrags mit dem Namen „Evil Market“ durchgeführt wurde.

Dieser Vertrag nutzte eine Schwachstelle im Belohnungsverteilungsmechanismus von Penpie aus, indem er die Einsatzguthaben aufblähte, um unverdiente Belohnungen einzufordern.

Der Fehler ermöglichte es, wie in Pendles Obduktionsbericht beschrieben, jedem, ohne Einschränkungen Pendle-Märkte auf Penpie zu erstellen, was die Tür für diesen schwerwiegenden Verstoß öffnete.

Nach dem Angriff stellte Penpie Protocol sämtliche Aktivitäten ein und Pendle setzte als Vorsichtsmaßnahme alle Verträge vorübergehend aus, um weiteren Schaden zu verhindern.

Auswirkungen auf Penpies nativen Token

Der Exploit hatte unmittelbare Auswirkungen auf Penpies nativen Token PNP, dessen Preis in der Folge um etwa 40 % einbrach.

Der native Token von Pendle, PENDLE, fiel ebenfalls um über 8 %.

Obwohl sich PNP seitdem leicht erholt hat, liegt es im 24-Stunden-Chart immer noch 28,8 % im Minus, was die anhaltende Unsicherheit und das erschütterte Vertrauen in das Protokoll widerspiegelt.

Dieser Vorfall reiht sich in die lange Liste von Sicherheitsverstößen im Kryptobereich ein.

Laut PeckShield verursachten Krypto-Hacks im Juli Verluste in Höhe von etwa 266 Millionen Dollar, im August stiegen sie auf 313 Millionen Dollar.

Besonders häufig waren Phishing-Angriffe, auf die im August 93,5 % aller Kryptowährungen entfielen.

Zu den größten Verlusten zählten allein im August 9.145 Opfer, die durch Phishing-Angriffe insgesamt rund 63 Millionen US-Dollar verloren.

In einem besonders schwerwiegenden Fall verlor ein Wal DAI im Wert von 55,47 Millionen US-Dollar, nachdem er eine böswillige Transaktion unterzeichnet hatte.

Anfang des Jahres wurde der Memecoin-Anbieter Pump.fun bei einem weiteren bedeutenden Angriff in einem „Bonding Curve“-Angriff um fast 2 Millionen US-Dollar betrogen. Diese Vorfälle unterstreichen die anhaltenden Sicherheitsprobleme im DeFi-Bereich und zeigen, wie dringend robuste Schutzmaßnahmen zum Schutz der Anlegervermögen erforderlich sind.

Während Penpie versucht, sich von diesem Angriff zu erholen, bleibt abzuwarten, wie das Kopfgeldangebot ausfällt. Der Vorfall ist jedoch eine deutliche Erinnerung an die Risiken, die der sich rasch entwickelnden Welt der dezentralen Finanzen innewohnen.