Protokół Penpie oferuje nagrodę za kradzież kryptowaluty o wartości 27 milionów dolarów, skradzione fundusze wyprane za pośrednictwem Tornado Cash

W druzgocącym ciosie dla społeczności zdecentralizowanych finansów (DeFi) protokół Penpie, zbudowany na platformie tokenizowanego zysku Pendle, 3 września 2024 r. padł ofiarą ataku na kwotę 27 milionów dolarów.

Atakującemu udało się przejąć kontrolę nad szeregiem aktywów cyfrowych, w tym stakowanym Etherem (ETH), sUSDE Etheny i opakowanym USDC.

W odpowiedzi Penpie zawiesiło wszystkie wpłaty i wypłaty, oferując jednocześnie negocjowalną nagrodę za bezpieczny zwrot skradzionych środków.

W protokole zobowiązano się do niepodejmowania kroków prawnych w przypadku zwrotu środków oraz do zachowania anonimowości atakującego, podkreślając tym samym znaczenie tych środków dla społeczności.

Eksploiter pierze pieniądze za pośrednictwem Tornado Cash

Dane z Etherscan ujawniają, że skradzione środki, w łącznej kwocie ponad 11 113 ETH (około 27 milionów dolarów), zostały wymienione na ETH przy użyciu protokołu Li.Fi, a następnie przekazane na oddzielny adres do prania pieniędzy zidentyfikowany jako „0x..cC3”.

Adres ten wykorzystano następnie do przekazania środków do Tornado Cash, znanego miksera kryptowalut.

Przed atakiem portfel wykorzystujący lukę w zabezpieczeniach został zasilony kwotą 10 ETH, również przesłaną za pośrednictwem Tornado Cash zaledwie kilka godzin przed atakiem.

W chwili zgłoszenia atakujący wyprał 3000 ETH za pośrednictwem Tornado Cash w 30 transakcjach, z których każda zawierała kwotę 100 ETH.

Atakujący nadal posiada 7113,2 ETH (około 17 milionów dolarów) pod adresem oznaczonym jako „0x2..C39”.

Jak doszło do exploita

Firma zajmująca się bezpieczeństwem PeckShield ustaliła, że atak przeprowadzono przy użyciu złośliwego kontraktu określanego mianem „złego rynku”.

Kontrakt ten wykorzystywał lukę w mechanizmie dystrybucji nagród Penpie poprzez zawyżanie sald zakładów w celu odebrania niezasłużonych nagród.

Jak wskazano w raporcie z analizy firmy Pendle, wada ta umożliwiała każdemu tworzenie rynków Pendle na platformie Penpie bez żadnych ograniczeń, co otworzyło drogę do poważnego naruszenia bezpieczeństwa.

Po ataku Penpie Protocol wstrzymało wszelkie operacje, a Pendle tymczasowo wstrzymało wszystkie kontrakty jako środek ostrożności, aby zapobiec dalszym szkodom.

Wpływ na natywny token Penpie

Wykorzystanie luki miało natychmiastowy wpływ na cenę natywnego tokena Penpie, PNP, którego cena spadła o ok. 40%.

Wartość natywnego tokena Pendle, PENDLE, również spadła o ponad 8%.

Mimo że od tego czasu PNP odnotowało niewielką poprawę, to nadal jest na minusie 28,8% na wykresie 24-godzinnym, co odzwierciedla utrzymującą się niepewność i zachwiane zaufanie do protokołu.

Incydent ten dołącza do stale wydłużającej się listy naruszeń bezpieczeństwa w sektorze kryptowalut.

Według PeckShield, ataki hakerskie na kryptowaluty przyniosły w lipcu straty rzędu 266 milionów dolarów, a w sierpniu kwota ta wzrosła do 313 milionów dolarów.

Szczególnie rozpowszechnione były ataki phishingowe, które stanowiły 93,5% wszystkich skradzionych kryptowalut w sierpniu.

Największe straty odnotowano w sierpniu, kiedy 9145 ofiar straciło łącznie około 63 milionów dolarów w wyniku ataków phishingowych.

W jednym szczególnie poważnym przypadku wieloryb stracił DAI o wartości 55,47 mln USD po podpisaniu złośliwej transakcji.

Wcześniej w tym roku doszło do kolejnego poważnego ataku, w którym firma wdrażająca memecoiny Pump.fun została wykorzystana na prawie 2 miliony dolarów w ataku „bonding curve”. Incydenty te podkreślają stałe wyzwania bezpieczeństwa, z jakimi zmaga się przestrzeń DeFi, i podkreślają pilną potrzebę solidnych środków ochronnych w celu zabezpieczenia aktywów inwestorów.

Podczas gdy Penpie stara się odzyskać siły po tym ataku, wynik oferty nagrody pozostaje niewiadomy. Jednak incydent ten jest jaskrawym przypomnieniem ryzyka tkwiącego w szybko ewoluującym świecie zdecentralizowanych finansów.