Penpie Protocol biedt beloning na crypto-overval van $ 27 miljoen, gestolen geld witgewassen via Tornado Cash

In een vernietigende klap voor de gemeenschap van gedecentraliseerde financiën (DeFi) werd Penpie Protocol, gebouwd op het getokeniseerde yieldplatform Pendle, op 3 september 2024 getroffen door een exploit van 27 miljoen dollar.

De aanvaller slaagde erin een reeks digitale activa te stelen, waaronder staked Ether (ETH), Ethena's sUSDE en wrapped USDC.

Penpie heeft hierop gereageerd door alle stortingen en opnames op te schorten en een onderhandelbare beloning uit te loven voor de veilige teruggave van de gestolen fondsen.

Het protocol heeft beloofd geen juridische stappen te ondernemen als de fondsen worden terugbetaald en de anonimiteit van de aanvaller te waarborgen. Hiermee wordt benadrukt hoe belangrijk deze fondsen voor de gemeenschap zijn.

Exploitant wast geld wit via Tornado Cash

Gegevens van Etherscan laten zien dat de gestolen fondsen, in totaal ruim 11.113 ETH (ongeveer $27 miljoen), werden geruild voor ETH met behulp van het Li.Fi-protocol, voordat ze werden overgemaakt naar een apart witwasadres, geïdentificeerd als “0x..cC3.”

Dit adres werd vervolgens gebruikt om het geld door te sluizen naar Tornado Cash, een bekende cryptocurrency-mixer.

Vóór de aanval werd de exploit wallet gevuld met 10 ETH, dat ook via Tornado Cash werd overgemaakt, enkele uren voor de overval.

Op het moment van melden had de aanvaller 3.000 ETH witgewassen via Tornado Cash, verdeeld over 30 transacties, waarbij telkens 100 ETH werd verplaatst.

De aanvaller heeft nog steeds 7.113,2 ETH (ongeveer $ 17 miljoen) in een adres met het label "0x2..C39."

Hoe de exploit plaatsvond

Beveiligingsbedrijf PeckShield ontdekte dat de exploit werd uitgevoerd met behulp van een kwaadaardig contract dat de naam “evil market” kreeg.

Dit contract maakte misbruik van een kwetsbaarheid in het beloningsdistributiemechanisme van Penpie door de inzetbalansen op te blazen om ongeverdiende beloningen te claimen.

Het lek, zoals beschreven in het post-mortemrapport van Pendle, maakte het voor iedereen mogelijk om zonder beperkingen Pendle-markten op Penpie te creëren, wat de deur opende voor deze aanzienlijke inbreuk.

Na de aanval legde Penpie Protocol alle activiteiten stil en zette Pendle tijdelijk alle contracten stil als voorzorgsmaatregel om verdere schade te voorkomen.

Impact op de native token van Penpie

De exploit had direct gevolgen voor Penpie's eigen token, PNP, waarvan de prijs met ongeveer 40% daalde.

De native token van Pendle, PENDLE, daalde ook met ruim 8%.

Hoewel PNP sindsdien een bescheiden herstel heeft doorgemaakt, staat het nog steeds 28,8% lager op de 24-uursgrafiek. Dit weerspiegelt de aanhoudende onzekerheid en het geschokte vertrouwen in het protocol.

Dit incident is één van de vele beveiligingsinbreuken in de cryptowereld.

Volgens PeckShield resulteerden cryptohacks in juli in een verlies van ongeveer 266 miljoen dollar, wat in augustus opliep tot 313 miljoen dollar.

Phishingaanvallen kwamen bijzonder vaak voor en waren in augustus goed voor 93,5% van alle gestolen cryptovaluta.

Een van de grootste verliezen was het verlies van 9.145 slachtoffers door phishingaanvallen in augustus. Zij verloren gezamenlijk ongeveer 63 miljoen dollar.

In een bijzonder ernstig geval verloor een whale 55,47 miljoen dollar aan DAI nadat hij een kwaadaardige transactie had ondertekend.

Eerder dit jaar werd memecoin-implementator Pump.fun voor bijna $ 2 miljoen uitgebuit in een "bonding curve"-aanval. Deze incidenten onderstrepen de aanhoudende beveiligingsuitdagingen waarmee de DeFi-ruimte te maken heeft en benadrukken de dringende behoefte aan robuuste beschermende maatregelen om de activa van beleggers te beschermen.

Terwijl Penpie probeert te herstellen van deze aanval, moet de uitkomst van het bounty-aanbod nog blijken. Het incident dient echter als een harde herinnering aan de risico's die inherent zijn aan de snel evoluerende wereld van gedecentraliseerde financiën.