Penpie Protocol offre una ricompensa dopo un furto di criptovalute da 27 milioni di dollari, fondi rubati riciclati tramite Tornado Cash

In un colpo devastante per la comunità della finanza decentralizzata (DeFi), il protocollo Penpie, costruito sulla piattaforma di rendimento tokenizzata Pendle, ha subito un exploit da 27 milioni di dollari il 3 settembre 2024.

L’aggressore è riuscito a sottrarre una serie di asset digitali, tra cui Ether (ETH) in staking, sUSDE di Ethena e Wrapped USDC.

In risposta, Penpie ha sospeso tutti i depositi e i prelievi, offrendo una ricompensa negoziabile per la restituzione sicura dei fondi rubati.

Il protocollo ha promesso di non intraprendere azioni legali se i fondi verranno restituiti e di mantenere l’anonimato dell’aggressore, sottolineando l’importanza di questi fondi per la comunità.

Lo sfruttatore ricicla i fondi tramite Tornado Cash

I dati di Etherscan rivelano che i fondi rubati, per un totale di oltre 11.113 ETH (circa 27 milioni di dollari), sono stati scambiati con ETH utilizzando il protocollo Li.Fi prima di essere trasferiti a un indirizzo di riciclaggio separato identificato come “0x..cC3”.

Successivamente, questo indirizzo è stato utilizzato per convogliare i fondi in Tornado Cash, un noto mixer di criptovalute.

Prima dell’attacco, il portafoglio exploit era stato finanziato con 10 ETH, trasferiti sempre tramite Tornado Cash poche ore prima della rapina.

Al momento della segnalazione, l’aggressore aveva riciclato 3.000 ETH tramite Tornado Cash in 30 transazioni, ciascuna delle quali spostava 100 ETH.

L’attaccante detiene ancora 7.113,2 ETH (circa 17 milioni di dollari) in un indirizzo etichettato “0x2..C39”.

Come è avvenuto l’exploit

La società di sicurezza PeckShield ha identificato che l’exploit è stato eseguito utilizzando un contratto dannoso denominato “mercato malvagio”.

Questo contratto sfruttava una vulnerabilità nel meccanismo di distribuzione delle ricompense di Penpie, gonfiando i saldi di puntata per reclamare ricompense non guadagnate.

La falla, come evidenziato nel rapporto post-mortem di Pendle, consentiva a chiunque di creare mercati Pendle su Penpie senza restrizioni, il che ha aperto la porta a questa significativa violazione.

Dopo l’attacco, Penpie Protocol ha sospeso tutte le operazioni e Pendle ha temporaneamente sospeso tutti i contratti come misura precauzionale per prevenire ulteriori danni.

Impatto sul token nativo di Penpie

L’attacco ebbe un impatto immediato sul token nativo di Penpie, PNP, il cui prezzo crollò di circa il 40%.

Anche il token nativo di Pendle, PENDLE, è sceso di oltre l’8%.

Sebbene nel frattempo il PNP abbia registrato una modesta ripresa, resta in calo del 28,8% nel grafico delle 24 ore, a dimostrazione dell’attuale incertezza e della scossa fiducia nel protocollo.

Questo incidente si aggiunge alla crescente lista di violazioni della sicurezza nel settore delle criptovalute.

Secondo PeckShield, gli attacchi informatici alle criptovalute hanno causato perdite per circa 266 milioni di dollari a luglio, salite a 313 milioni di dollari ad agosto.

Particolarmente diffusi sono stati gli attacchi di phishing, che hanno rappresentato il 93,5% di tutte le criptovalute rubate nel mese di agosto.

Tra le perdite più significative, 9.145 vittime hanno perso complessivamente circa 63 milioni di dollari a causa di attacchi di phishing nel solo mese di agosto.

In un caso particolarmente grave, una balena ha perso 55,47 milioni di dollari in DAI dopo aver firmato una transazione fraudolenta.

All’inizio di quest’anno, un altro attacco significativo ha visto il distributore di memecoin Pump.fun sfruttato per quasi 2 milioni di $ in un attacco “bonding curve”. Questi incidenti sottolineano le persistenti sfide di sicurezza che lo spazio DeFi deve affrontare e sottolineano l’urgente necessità di solide misure di protezione per salvaguardare gli asset degli investitori.

Mentre Penpie cerca di riprendersi da questo attacco, l’esito dell’offerta di ricompensa resta da vedere. Tuttavia, l’incidente serve come un duro promemoria dei rischi insiti nel mondo in rapida evoluzione della finanza decentralizzata.