Le protocole Penpie offre une prime après un vol de crypto-monnaie de 27 millions de dollars, les fonds volés ont été blanchis via Tornado Cash

Dans un coup dévastateur pour la communauté de la finance décentralisée (DeFi), le protocole Penpie, construit sur la plateforme de rendement tokenisée Pendle, a subi un exploit de 27 millions de dollars le 3 septembre 2024.

L'attaquant a réussi à siphonner une gamme d'actifs numériques, notamment l'Ether jalonné (ETH), le sUSDE d'Ethena et l'USDC enveloppé.

En réponse, Penpie a suspendu tous les dépôts et retraits tout en offrant une prime négociable pour le retour en toute sécurité des fonds volés.

Le protocole a promis de ne pas intenter de poursuites judiciaires si les fonds sont restitués et de maintenir l'anonymat de l'attaquant, soulignant l'importance de ces fonds pour sa communauté.

Un exploitant blanchit des fonds grâce à Tornado Cash

Les données d'Etherscan révèlent que les fonds volés, totalisant plus de 11 113 ETH (environ 27 millions de dollars), ont été échangés contre des ETH à l'aide du protocole Li.Fi avant d'être transférés vers une adresse de blanchiment distincte identifiée comme « 0x..cC3 ».

Cette adresse a ensuite été utilisée pour canaliser les fonds vers Tornado Cash, un mélangeur de crypto-monnaie bien connu.

Avant l'attaque, le portefeuille d'exploits était financé avec 10 ETH, également transférés via Tornado Cash quelques heures avant le braquage.

Au moment de la rédaction du rapport, l'attaquant avait blanchi 3 000 ETH via Tornado Cash en 30 transactions, chacune déplaçant 100 ETH.

L'attaquant détient toujours 7 113,2 ETH (environ 17 millions de dollars) dans une adresse intitulée « 0x2..C39 ».

Comment l'exploit s'est produit

La société de sécurité PeckShield a identifié que l'exploit avait été réalisé à l'aide d'un contrat malveillant surnommé « marché maléfique ».

Ce contrat exploitait une vulnérabilité dans le mécanisme de distribution des récompenses de Penpie en gonflant les soldes de jalonnement pour réclamer des récompenses non méritées.

La faille, telle que décrite dans le rapport d'autopsie de Pendle, permettait à n'importe qui de créer des marchés Pendle sur Penpie sans restrictions, ce qui a ouvert la porte à cette violation importante.

Après l'attaque, Penpie Protocol a interrompu toutes ses opérations et Pendle a temporairement suspendu tous les contrats par mesure de précaution pour éviter de nouveaux dommages.

Impact sur le jeton natif de Penpie

L'exploit a eu un impact immédiat sur le jeton natif de Penpie, PNP, dont le prix a chuté d'environ 40 % par la suite.

Le jeton natif de Pendle, PENDLE, a également chuté de plus de 8 %.

Bien que le PNP ait depuis connu une modeste reprise, il reste en baisse de 28,8 % sur le graphique sur 24 heures, reflétant l'incertitude persistante et la confiance ébranlée dans le protocole.

Cet incident s’ajoute à une liste croissante de failles de sécurité dans le secteur des crypto-monnaies.

Selon PeckShield, les piratages de crypto-monnaies ont entraîné des pertes d'environ 266 millions de dollars en juillet, atteignant 313 millions de dollars en août.

Les attaques de phishing ont été particulièrement répandues, représentant 93,5 % de toutes les crypto-monnaies volées en août.

Parmi les pertes les plus importantes, 9 145 victimes ont collectivement perdu environ 63 millions de dollars à cause d'attaques de phishing au cours du seul mois d'août.

Dans un cas particulièrement grave, une baleine a perdu 55,47 millions de dollars de DAI après avoir signé une transaction malveillante.

Plus tôt cette année, une autre attaque importante a vu le déployeur de memecoin Pump.fun exploité pour près de 2 millions de dollars dans une attaque de « bonding curve ». Ces incidents soulignent les défis de sécurité persistants auxquels est confronté l'espace DeFi et soulignent le besoin urgent de mesures de protection robustes pour protéger les actifs des investisseurs.

Alors que Penpie tente de se remettre de cette attaque, l’issue de l’offre de récompense reste à voir. Cependant, l’incident sert de rappel brutal des risques inhérents à l’évolution rapide du monde de la finance décentralisée.