Penpie Protocol tilbyr dusør etter $27 millioner krypto-ran, stjålne midler hvitvasket via Tornado Cash

I et ødeleggende slag for det desentraliserte finansfellesskapet (DeFi) fikk Penpie Protocol, bygget på toppen av den tokeniserte avkastningsplattformen Pendle, en utnyttelse på 27 millioner dollar 3. september 2024.

Angriperen klarte å suge av en rekke digitale eiendeler, inkludert staked Ether (ETH), Ethenas sUSDE og innpakket USDC.

Som svar har Penpie suspendert alle innskudd og uttak mens han tilbyr en omsettelig dusør for sikker tilbakelevering av de stjålne midlene.

Protokollen har lovet å ikke forfølge rettslige skritt hvis midlene blir returnert og å opprettholde angriperens anonymitet, og understreker betydningen av disse midlene for samfunnet.

Utnytter hvitvasker midler gjennom Tornado Cash

Data fra Etherscan avslører at de stjålne midlene, til sammen over 11 113 ETH (omtrent $27 millioner), ble byttet mot ETH ved hjelp av Li.Fi-protokollen før de ble overført til en separat hvitvaskingsadresse identifisert som "0x..cC3."

Denne adressen ble senere brukt til å overføre midlene til Tornado Cash, en velkjent kryptovaluta-mikser.

Før angrepet ble exploit-lommeboken finansiert med 10 ETH, også overført via Tornado Cash bare timer før ranet.

På tidspunktet for rapporteringen hadde angriperen hvitvasket 3000 ETH gjennom Tornado Cash på tvers av 30 transaksjoner, som hver flyttet 100 ETH.

Angriperen har fortsatt 7 113,2 ETH (rundt 17 millioner dollar) på en adresse merket "0x2..C39."

Hvordan utnyttelsen skjedde

Sikkerhetsfirmaet PeckShield identifiserte at utnyttelsen ble utført ved hjelp av en ondsinnet kontrakt kalt "ondt marked."

Denne kontrakten utnyttet en sårbarhet i Penpies belønningsfordelingsmekanisme ved å blåse opp innsatssaldoene for å kreve uopptjente belønninger.

Feilen, som skissert i Pendles obduksjonsrapport, tillot hvem som helst å opprette Pendle-markeder på Penpie uten restriksjoner, noe som åpnet døren til dette betydelige bruddet.

Etter angrepet stanset Penpie-protokollen alle operasjoner, og Pendle stanset midlertidig alle kontrakter som et forholdsregel for å forhindre ytterligere skade.

Innvirkning på Penpies opprinnelige token

Utnyttelsen hadde en umiddelbar innvirkning på Penpies opprinnelige token, PNP, som så prisen falt med omtrent 40 % i kjølvannet.

Pendles opprinnelige token, PENDLE, falt også over 8 %.

Selv om PNP siden har gjort en beskjeden bedring, er den fortsatt ned 28,8 % på 24-timers diagrammet, noe som gjenspeiler den pågående usikkerheten og rystet tillit til protokollen.

Denne hendelsen legger til en voksende liste over sikkerhetsbrudd i kryptoområdet.

I følge PeckShield resulterte kryptohack i tap på rundt 266 millioner dollar i juli, og steg til 313 millioner dollar i august.

Phishing-angrep var spesielt utbredt, og sto for 93,5 % av all stjålet krypto i august.

Blant de mest betydelige tapene tapte 9 145 ofre samlet rundt 63 millioner dollar på phishing-angrep bare i august.

I ett spesielt alvorlig tilfelle mistet en hval DAI verdt 55,47 millioner dollar etter å ha signert en ondsinnet transaksjon.

Tidligere i år ble memecoin-utplasseringen Pump.fun utnyttet for nesten $2 millioner i et "bonding curve"-angrep tidligere i år. Disse hendelsene understreker de vedvarende sikkerhetsutfordringene som DeFi-området står overfor og fremhever det presserende behovet for robuste beskyttelsestiltak for å beskytte investorenes eiendeler.

Mens Penpie prøver å komme seg etter dette angrepet, gjenstår utfallet av dusørtilbudet å se. Hendelsen tjener imidlertid som en sterk påminnelse om risikoen som er iboende i den raskt utviklende verden av desentralisert finans.