Protokol Penpie menawarkan hadiah selepas rompakan kripto $27 juta, dana yang dicuri yang diculik melalui Tornado Cash

Dalam tamparan hebat kepada komuniti kewangan terdesentralisasi (DeFi), Protokol Penpie, yang dibina di atas platform hasil token Pendle, mengalami eksploitasi $27 juta pada 3 September 2024.

Penyerang berjaya menyedut pelbagai aset digital, termasuk Ether (ETH), sUSDE Ethena dan USDC yang dibungkus.

Sebagai tindak balas, Penpie telah menggantung semua deposit dan pengeluaran sambil menawarkan habuan boleh niaga untuk pemulangan selamat dana yang dicuri.

Protokol itu telah berjanji untuk tidak meneruskan tindakan undang-undang jika dana dikembalikan dan mengekalkan kerahsiaan penyerang, dengan menekankan kepentingan dana ini kepada komunitinya.

Pengeksploitasi mengubur dana melalui Tornado Cash

Data daripada Etherscan mendedahkan bahawa dana yang dicuri, berjumlah lebih 11,113 ETH (kira-kira $27 juta), telah ditukar dengan ETH menggunakan protokol Li.Fi sebelum dipindahkan ke alamat pencucian berasingan yang dikenal pasti sebagai "0x..cC3."

Alamat ini kemudiannya digunakan untuk menyalurkan dana ke dalam Tornado Cash, pengadun mata wang kripto yang terkenal.

Sebelum serangan, dompet eksploitasi itu dibiayai dengan 10 ETH, juga dipindahkan melalui Tornado Cash hanya beberapa jam sebelum rompakan.

Pada masa laporan, penyerang telah mencuci 3,000 ETH melalui Tornado Cash merentasi 30 transaksi, setiap satu memindahkan 100 ETH.

Penyerang masih memegang 7,113.2 ETH (sekitar $17 juta) dalam alamat berlabel "0x2..C39."

Bagaimana eksploitasi itu berlaku

Firma keselamatan PeckShield mengenal pasti bahawa eksploitasi itu dilakukan menggunakan kontrak berniat jahat yang digelar "pasaran jahat."

Kontrak ini mengeksploitasi kelemahan dalam mekanisme pengagihan ganjaran Penpie dengan menaikkan baki taruhan untuk menuntut ganjaran yang belum diperoleh.

Kecacatan itu, seperti yang digariskan dalam laporan bedah siasat Pendle, membenarkan sesiapa sahaja untuk mencipta pasaran Pendle pada Penpie tanpa sekatan, yang membuka pintu kepada pelanggaran ketara ini.

Berikutan serangan itu, Protokol Penpie menghentikan semua operasi, dan Pendle menghentikan sementara semua kontrak sebagai langkah berjaga-jaga untuk mengelakkan kerosakan selanjutnya.

Kesan pada token asli Penpie

Eksploitasi itu memberi kesan serta-merta ke atas token asli Penpie, PNP, yang menyaksikan harganya menjunam kira-kira 40% selepas itu.

Token asli Pendle, PENDLE, juga turun lebih 8%.

Walaupun PNP sejak itu telah membuat pemulihan sederhana, ia kekal turun 28.8% pada carta 24 jam, mencerminkan ketidaktentuan yang berterusan dan keyakinan yang goyah dalam protokol.

Insiden ini menambah senarai pelanggaran keselamatan yang semakin meningkat dalam ruang crypto.

Menurut PeckShield, penggodaman crypto mengakibatkan kerugian kira-kira $266 juta pada bulan Julai, meningkat kepada $313 juta pada bulan Ogos.

Serangan pancingan data sangat berleluasa, menyumbang 93.5% daripada semua kripto yang dicuri pada bulan Ogos.

Antara kerugian paling ketara, 9,145 mangsa secara kolektif kehilangan kira-kira $63 juta kepada serangan pancingan data pada bulan Ogos sahaja.

Dalam satu kes yang sangat teruk, seekor ikan paus kehilangan DAI bernilai $55.47 juta selepas menandatangani transaksi berniat jahat.

Pada awal tahun ini, satu lagi serangan ketara menyaksikan pengedar memecoin Pump.fun dieksploitasi untuk hampir $2 juta dalam serangan "lengkung ikatan". Insiden ini menekankan cabaran keselamatan berterusan yang dihadapi oleh ruang DeFi dan menyerlahkan keperluan mendesak untuk langkah perlindungan yang teguh untuk melindungi aset pelabur.

Memandangkan Penpie berusaha untuk pulih daripada serangan ini, keputusan tawaran hadiah masih belum dapat dilihat. Walau bagaimanapun, insiden itu menjadi peringatan yang jelas tentang risiko yang wujud dalam dunia kewangan terdesentralisasi yang berkembang pesat.