3 сентября протокол децентрализованных финансов (DeFi) Penpie, построенный на платформе Pendle, подвергся атаке хакеров, в результате которой было похищено $27 миллионов в различных криптовалютах.
Взлом
Согласно данным EmberCN, украденные средства включали Ether (ETH) и стейблкоины, такие как wrapped USDC и sUSDE. Хакер воспользовался уязвимостью в системе безопасности Penpie, конвертировав большую часть украденных активов в ETH и затем переведя их на новый адрес Ethereum, что затруднило их отслеживание. Взлом был впервые обнаружен аккаунтом X, Chaofan Shou, аффилированным с Fuzzland. По данным аккаунта, $17 миллионов были выведены с Penpie, что указывало на то, что протокол был не в курсе взлома даже после его начала. Эта задержка в реакции привела к дополнительным потерям в размере $10 миллионов. Хакер воспользовался конкретной уязвимостью в системе безопасности Penpie, что позволило ему быстро и эффективно вывести средства. Большая часть украденных активов была конвертирована в 11,109 ETH, стоимостью около $26.95 миллионов. Из этой суммы хакер отмыл 1,000 ETH (примерно $2.42 миллиона) через криптомиксер Tornado Cash, согласно данным DeBank. Блокчейновые данные показали, что адрес взломщика изначально был профинансирован на 10 ETH из Tornado Cash за несколько часов до атаки.
Реакция Penpie и Pendle
Penpie подтвердил взлом в посте на X приблизительно через час после начала атаки. Протокол немедленно приостановил все депозиты и выводы средств, чтобы предотвратить дальнейшие потери. > Предупреждение: Penpie столкнулся с нарушением безопасности. > > Мы приостановили все депозиты и выводы. Наша команда усердно работает над решением проблемы. Ваша терпимость и поддержка неоценимы в это время. > > Оставайтесь с нами для получения дальнейших обновлений. > — Penpie (@Penpiexyz_io), 3 сентября 2024 г. Платформа Pendle, на которой построен Penpie, также приняла меры, приостановив все контракты на Pendle в качестве предосторожности, защищая примерно $105 миллионов, которые могли быть под угрозой. Pendle подтвердил, что их средства в безопасности и что взлом касался только Penpie, не затрагивая сам протокол Pendle. Команда Pendle идентифицировала атаку и мобилизовала усилия для защиты своей экосистемы. Они сообщили, что обратились к экспертам по безопасности из Seal 911 для оценки ситуации и разработки стратегий по предотвращению дальнейших взломов.
Обращение Penpie к хакеру
Penpie обратился к хакеру с предложением обсудить возврат украденных средств за вознаграждение. Penpie подчеркнул, что они не будут принимать юридических мер, если средства будут возвращены. Они также предложили хакеру возможность перейти в белый хакерский статус, где его навыки будут признаны и вознаграждены. Протокол выразил важность украденных средств для их сообщества и готовность решить проблему в сотрудничестве.
На момент последних обновлений средства, украденные у Penpie, частично переведены в Tornado Cash, что делает усилия по их возврату более сложными. Penpie сообщает, что они обновляют интерфейс своей платформы и активно работают над тем, чтобы пользователи могли безопасно выводить свои оставшиеся средства.
Комментарии