Penpie Protocol oferece recompensa após roubo de criptomoedas de US$ 27 milhões, fundos roubados lavados via Tornado Cash

Em um golpe devastador para a comunidade de finanças descentralizadas (DeFi), o Penpie Protocol, construído sobre a plataforma de rendimento tokenizado Pendle, sofreu uma exploração de US$ 27 milhões em 3 de setembro de 2024.

O invasor conseguiu desviar uma série de ativos digitais, incluindo Ether (ETH) apostado, sUSDE da Ethena e USDC encapsulado.

Em resposta, a Penpie suspendeu todos os depósitos e retiradas, oferecendo uma recompensa negociável pelo retorno seguro dos fundos roubados.

O protocolo prometeu não tomar medidas legais se os fundos forem devolvidos e manter o anonimato do invasor, enfatizando a importância desses fundos para sua comunidade.

Explorador lava fundos através do Tornado Cash

Dados do Etherscan revelam que os fundos roubados, totalizando mais de 11.113 ETH (aproximadamente US$ 27 milhões), foram trocados por ETH usando o protocolo Li.Fi antes de serem transferidos para um endereço de lavagem separado identificado como “0x..cC3”.

Esse endereço foi posteriormente usado para canalizar os fundos para o Tornado Cash, um conhecido misturador de criptomoedas.

Antes do ataque, a carteira de exploração foi financiada com 10 ETH, também transferidos via Tornado Cash poucas horas antes do assalto.

No momento da reportagem, o invasor havia lavado 3.000 ETH por meio do Tornado Cash em 30 transações, cada uma movimentando 100 ETH.

O invasor ainda detém 7.113,2 ETH (cerca de US$ 17 milhões) em um endereço rotulado “0x2..C39”.

Como a exploração aconteceu

A empresa de segurança PeckShield identificou que a exploração foi realizada usando um contrato malicioso denominado “mercado maligno”.

Este contrato explorou uma vulnerabilidade no mecanismo de distribuição de recompensas da Penpie ao inflar os saldos de apostas para reivindicar recompensas não merecidas.

A falha, conforme descrito no relatório post-mortem de Pendle, permitiu que qualquer pessoa criasse mercados Pendle no Penpie sem restrições, o que abriu as portas para essa violação significativa.

Após o ataque, o Protocolo Penpie interrompeu todas as operações, e Pendle suspendeu temporariamente todos os contratos como medida de precaução para evitar maiores danos.

Impacto no token nativo da Penpie

A exploração teve um impacto imediato no token nativo da Penpie, o PNP, cujo preço despencou cerca de 40% posteriormente.

O token nativo da Pendle, PENDLE, também caiu mais de 8%.

Embora o PNP tenha feito uma recuperação modesta desde então, ele continua com queda de 28,8% no gráfico de 24 horas, refletindo a incerteza contínua e a confiança abalada no protocolo.

Este incidente se soma a uma lista crescente de violações de segurança no espaço criptográfico.

De acordo com a PeckShield, os ataques a criptomoedas resultaram em aproximadamente US$ 266 milhões em perdas em julho, aumentando para US$ 313 milhões em agosto.

Ataques de phishing foram particularmente prevalentes, respondendo por 93,5% de todas as criptomoedas roubadas em agosto.

Entre as perdas mais significativas, 9.145 vítimas perderam coletivamente cerca de US$ 63 milhões em ataques de phishing somente em agosto.

Em um caso particularmente grave, uma baleia perdeu US$ 55,47 milhões em DAI após assinar uma transação maliciosa.

No início deste ano, outro ataque significativo viu o implementador de memecoin Pump.fun ser explorado por quase US$ 2 milhões em um ataque de “curva de ligação”. Esses incidentes ressaltam os desafios persistentes de segurança enfrentados pelo espaço DeFi e destacam a necessidade urgente de medidas de proteção robustas para salvaguardar os ativos dos investidores.

Enquanto a Penpie busca se recuperar desse ataque, o resultado da oferta de recompensa ainda está para ser visto. No entanto, o incidente serve como um lembrete severo dos riscos inerentes ao mundo em rápida evolução das finanças descentralizadas.