Penpie Protocol erbjuder prispengar efter 27 miljoner dollar kryptorajst, stulna pengar tvättade via Tornado Cash

I ett förödande slag mot den decentraliserade finansgemenskapen (DeFi) drabbades Penpie Protocol, byggt ovanpå den tokeniserade avkastningsplattformen Pendle, en exploatering på 27 miljoner dollar den 3 september 2024.

Angriparen lyckades ta bort en rad digitala tillgångar, inklusive insatt Ether (ETH), Ethenas sUSDE och inpackade USDC.

Som svar har Penpie avbrutit alla insättningar och uttag samtidigt som han erbjuder en förhandlingsbar belöning för att de stulna medlen ska kunna återlämnas på ett säkert sätt.

Protokollet har lovat att inte vidta rättsliga åtgärder om medlen återlämnas och att upprätthålla angriparens anonymitet, vilket betonar betydelsen av dessa medel för dess gemenskap.

Exploatören tvättar pengar genom Tornado Cash

Data från Etherscan avslöjar att de stulna medlen, totalt över 11 113 ETH (cirka 27 miljoner USD), byttes mot ETH med hjälp av Li.Fi-protokollet innan de överfördes till en separat tvättadress identifierad som "0x..cC3."

Denna adress användes sedan för att kanalisera pengarna till Tornado Cash, en välkänd kryptovalutamixer.

Före attacken finansierades exploateringsplånboken med 10 ETH, även den överfördes via Tornado Cash bara timmar före rånet.

Vid tidpunkten för rapporteringen hade angriparen tvättat 3 000 ETH genom Tornado Cash över 30 transaktioner, var och en flyttade 100 ETH.

Angriparen har fortfarande 7 113,2 ETH (cirka 17 miljoner dollar) på en adress märkt "0x2..C39."

Hur utnyttjandet gick till

Säkerhetsföretaget PeckShield identifierade att exploateringen utfördes med hjälp av ett skadligt kontrakt kallat "ond marknad".

Detta kontrakt utnyttjade en sårbarhet i Penpies belöningsfördelningsmekanism genom att blåsa upp insatssaldon för att göra anspråk på oförtjänta belöningar.

Felet, som beskrivs i Pendles obduktionsrapport, tillät vem som helst att skapa Pendle-marknader på Penpie utan begränsningar, vilket öppnade dörren till detta betydande intrång.

Efter attacken stoppade Penpie Protocol all verksamhet, och Pendle pausade tillfälligt alla kontrakt som en försiktighetsåtgärd för att förhindra ytterligare skada.

Inverkan på Penpies ursprungliga token

Exploateringen hade en omedelbar inverkan på Penpies ursprungliga token, PNP, som såg priset rasa med ungefär 40 % i efterdyningarna.

Pendles ursprungliga token, PENDLE, sjönk också över 8%.

Även om PNP sedan dess har gjort en blygsam återhämtning, är den fortfarande ned 28,8% på 24-timmarsdiagrammet, vilket återspeglar den pågående osäkerheten och skakat förtroende för protokollet.

Denna incident lägger till en växande lista över säkerhetsintrång i kryptorymden.

Enligt PeckShield resulterade kryptohack i cirka 266 miljoner dollar i förluster i juli, vilket steg till 313 miljoner dollar i augusti.

Nätfiskeattacker var särskilt utbredda och stod för 93,5 % av all stulna krypto i augusti.

Bland de mest betydande förlusterna förlorade 9 145 offer kollektivt cirka 63 miljoner dollar på nätfiskeattacker bara i augusti.

I ett särskilt allvarligt fall förlorade en val 55,47 miljoner dollar i DAI efter att ha undertecknat en skadlig transaktion.

Tidigare i år, en annan betydande attack såg memecoin-utföraren Pump.fun utnyttjas för nästan $2 miljoner i en "bonding curve"-attack. Dessa incidenter understryker de ihållande säkerhetsutmaningarna som DeFi-utrymmet står inför och belyser det akuta behovet av robusta skyddsåtgärder för att skydda investerarnas tillgångar.

När Penpie försöker återhämta sig från denna attack, återstår resultatet av priserbjudandet att se. Händelsen tjänar dock som en skarp påminnelse om riskerna i den snabbt utvecklande världen av decentraliserad finans.