Penpie Protocol, 27 milyon dolarlık kripto soygunu ve Tornado Cash aracılığıyla aklanan paraların ardından ödül teklif ediyor

Merkezi olmayan finans (DeFi) topluluğuna yıkıcı bir darbe vuran, tokenleştirilmiş getiri platformu Pendle üzerine inşa edilen Penpie Protokolü, 3 Eylül 2024’te 27 milyon dolarlık bir istismara uğradı.

Saldırgan, stake edilmiş Ether (ETH), Ethena’nın sUSDE’si ve paketlenmiş USDC de dahil olmak üzere bir dizi dijital varlığı çalmayı başardı.

Penpie ise buna karşılık tüm para yatırma ve çekme işlemlerini askıya aldı ve çalınan paraların güvenli bir şekilde iadesi için pazarlık edilebilir bir ödül teklif etti.

Protokol, paraların iade edilmesi halinde yasal işlem başlatmamayı ve saldırganın kimliğini gizli tutmayı taahhüt ederek, bu paraların topluluk için önemini vurguladı.

İstismarcı, Tornado Cash aracılığıyla para aklıyor

Etherscan’den alınan veriler, çalınan fonların, toplam değeri 11.113 ETH’yi (yaklaşık 27 milyon dolar) aştığını ve ayrı bir aklama adresi olan “0x..cC3″e aktarılmadan önce Li.Fi protokolü kullanılarak ETH ile değiştirildiğini ortaya koyuyor.

Bu adres daha sonra fonları, tanınmış bir kripto para karıştırıcısı olan Tornado Cash’e aktarmak için kullanıldı.

Saldırıdan önce, istismar cüzdanına soygundan sadece birkaç saat önce Tornado Cash aracılığıyla transfer edilen 10 ETH yatırılmıştı.

Raporlama sırasında saldırganın Tornado Cash üzerinden 30 işlemde 3.000 ETH akladığı ve her işlemde 100 ETH taşındığı belirtiliyor.

Saldırgan hala “0x2..C39” etiketli bir adreste 7.113,2 ETH (yaklaşık 17 milyon dolar) tutuyor.

Saldırı nasıl gerçekleşti?

Güvenlik firması PeckShield, saldırının “kötü pazar” adı verilen kötü amaçlı bir sözleşme kullanılarak gerçekleştirildiğini tespit etti.

Bu sözleşme, kazanılmamış ödülleri talep etmek için staking bakiyelerini şişirerek Penpie’nin ödül dağıtım mekanizmasındaki bir açığı istismar etti.

Pendle’ın ölüm sonrası raporunda da belirtildiği gibi, bu kusur, herkesin Penpie’de kısıtlama olmaksızın Pendle piyasaları oluşturmasına olanak tanıyordu ve bu da önemli bir ihlalin kapısını açtı.

Saldırının ardından Penpie Protocol tüm operasyonlarını durdurdu, Pendle ise daha fazla hasarı önlemek amacıyla tedbir amaçlı tüm sözleşmeleri geçici olarak askıya aldı.

Penpie’nin yerel token’ı üzerindeki etkisi

Bu sömürü, Penpie’nin yerel token’ı PNP’de anında etki yarattı ve sonrasında fiyatı yaklaşık %40 oranında düştü.

Pendle’ın yerel token’ı PENDLE’da da %8’in üzerinde düşüş yaşandı.

PNP o zamandan bu yana mütevazı bir toparlanma gösterse de, protokole olan belirsizliğin ve sarsılan güvenin devam ettiğini yansıtan 24 saatlik grafikte %28,8 düşüşte kalmaya devam ediyor.

Bu olay, kripto alanındaki giderek artan güvenlik ihlallerinin listesine bir yenisini daha ekliyor.

PeckShield’a göre, kripto saldırıları Temmuz ayında yaklaşık 266 milyon dolarlık kayba yol açarken, Ağustos ayında bu miktar 313 milyon dolara yükseldi.

Özellikle Ağustos ayında çalınan kripto paraların %93,5’ini oluşturan kimlik avı saldırıları oldukça yaygındı.

En büyük kayıplardan biri, yalnızca Ağustos ayında 9.145 mağdurun kimlik avı saldırılarında toplamda yaklaşık 63 milyon dolar kaybetmesiydi.

Özellikle ciddi bir vakada, bir balina kötü niyetli bir işlem imzaladıktan sonra 55,47 milyon dolar değerinde DAI kaybetti.

Bu yılın başlarında, memecoin dağıtımcısı Pump.fun’ın bir “bağlanma eğrisi” saldırısında yaklaşık 2 milyon dolar için istismar edildiği önemli bir saldırı daha yaşandı. Bu olaylar, DeFi alanının karşı karşıya olduğu sürekli güvenlik zorluklarının altını çiziyor ve yatırımcı varlıklarını korumak için güçlü koruyucu önlemlere acil ihtiyaç olduğunu vurguluyor.

Penpie bu saldırıdan kurtulmaya çalışırken, ödül teklifinin sonucu henüz belli değil. Ancak, olay, hızla gelişen merkezi olmayan finans dünyasında var olan risklerin çarpıcı bir hatırlatıcısı olarak hizmet ediyor.