Penpie Protocol ofrece recompensa tras robo de criptomonedas por 27 millones de dólares y lavado de fondos robados a través de Tornado Cash

En un golpe devastador para la comunidad de finanzas descentralizadas (DeFi), el Protocolo Penpie, construido sobre la plataforma de rendimiento tokenizado Pendle, sufrió una explotación de $ 27 millones el 3 de septiembre de 2024.

El atacante logró desviar una variedad de activos digitales, incluidos Ether (ETH) en stake, sUSDE de Ethena y USDC envuelto.

En respuesta, Penpie suspendió todos los depósitos y retiros y ofreció una recompensa negociable por la devolución segura de los fondos robados.

El protocolo ha prometido no emprender acciones legales si se devuelven los fondos y mantener el anonimato del atacante, enfatizando la importancia de estos fondos para su comunidad.

Explotador blanquea fondos a través de Tornado Cash

Los datos de Etherscan revelan que los fondos robados, por un total de más de 11.113 ETH (aproximadamente 27 millones de dólares), se intercambiaron por ETH utilizando el protocolo Li.Fi antes de ser transferidos a una dirección de lavado separada identificada como "0x..cC3".

Esta dirección se utilizó posteriormente para canalizar los fondos a Tornado Cash, un conocido mezclador de criptomonedas.

Antes del ataque, la billetera explotadora estaba financiada con 10 ETH, también transferidos a través de Tornado Cash apenas unas horas antes del robo.

Al momento de informar, el atacante había lavado 3.000 ETH a través de Tornado Cash en 30 transacciones, cada una de las cuales movía 100 ETH.

El atacante todavía tiene 7.113,2 ETH (alrededor de 17 millones de dólares) en una dirección denominada “0x2..C39”.

Cómo se produjo el exploit

La empresa de seguridad PeckShield identificó que el exploit se llevó a cabo utilizando un contrato malicioso denominado “mercado maligno”.

Este contrato explotó una vulnerabilidad en el mecanismo de distribución de recompensas de Penpie al inflar los saldos de participación para reclamar recompensas no ganadas.

La falla, como se describe en el informe post mortem de Pendle, permitía a cualquiera crear mercados de Pendle en Penpie sin restricciones, lo que abrió la puerta a esta importante violación.

Tras el ataque, Penpie Protocol detuvo todas las operaciones y Pendle suspendió temporalmente todos los contratos como medida de precaución para evitar más daños.

Impacto en el token nativo de Penpie

El exploit tuvo un impacto inmediato en el token nativo de Penpie, PNP, cuyo precio se desplomó aproximadamente un 40% como consecuencia de ello.

El token nativo de Pendle, PENDLE, también cayó más del 8%.

Aunque desde entonces el PNP ha experimentado una modesta recuperación, sigue un 28,8% por debajo en el gráfico de 24 horas, lo que refleja la incertidumbre actual y la confianza debilitada en el protocolo.

Este incidente se suma a una lista creciente de violaciones de seguridad en el espacio criptográfico.

Según PeckShield, los hackeos de criptomonedas provocaron pérdidas de aproximadamente 266 millones de dólares en julio, que aumentaron a 313 millones de dólares en agosto.

Los ataques de phishing fueron particularmente frecuentes y representaron el 93,5% de todas las criptomonedas robadas en agosto.

Entre las pérdidas más significativas, 9.145 víctimas perdieron colectivamente alrededor de 63 millones de dólares por ataques de phishing solo en agosto.

En un caso particularmente grave, una ballena perdió 55,47 millones de dólares en DAI después de firmar una transacción maliciosa.

A principios de este año, otro ataque significativo fue el de la plataforma de distribución de memecoin Pump.fun, que fue explotada por casi 2 millones de dólares en un ataque de "curva de bonos". Estos incidentes subrayan los persistentes desafíos de seguridad que enfrenta el espacio DeFi y resaltan la necesidad urgente de medidas de protección sólidas para salvaguardar los activos de los inversores.

Mientras Penpie intenta recuperarse de este ataque, el resultado de la oferta de recompensa aún está por verse. Sin embargo, el incidente sirve como un duro recordatorio de los riesgos inherentes al mundo de las finanzas descentralizadas, que evoluciona rápidamente.