3 сентября децентрализованный финансовый протокол Penpie, построенный на платформе Pendle, подвергся взлому, в результате которого было похищено $27 миллионов в различных криптовалютах.
Эксплойт
Ворованные средства включают Ether (ETH) и стейблкоины, такие как wrapped USDC и sUSDE, согласно EmberCN. Хакер воспользовался уязвимостью в системе безопасности Penpie, конвертируя большую часть украденных активов в ETH и затем переводя их на новый Ethereum-адрес, что затруднило их отслеживание. Первый сигнал о взломе поступил от аккаунта Chaofan Shou, связанного с Fuzzland. Аккаунт сообщил о потере $17 миллионов, указав, что протокол не был осведомлен о взломе, даже когда он уже начался. Эта задержка в реакции привела к дополнительным убыткам в $10 миллионов. Хакер воспользовался специфической уязвимостью в системе безопасности Penpie, что позволило ему быстро и эффективно вывести средства. Большая часть украденных активов была конвертирована в 11,109 ETH, стоимостью около $26.95 миллионов. Из этой суммы хакер прокрутил 1,000 ETH (примерно $2.42 миллиона) через криптовалютный миксер Tornado Cash, согласно данным DeBank. Blockchain-данные показывают, что адрес злоумышленника первоначально был пополнен 10 ETH от Tornado Cash за несколько часов до атаки.
Реакция со стороны Penpie и Pendle
Penpie подтвердил нарушение безопасности примерно через час после начала взлома в посте в X. Протокол немедленно приостановил все депозиты и выводы, чтобы предотвратить дальнейшие потери. > Предупреждение: Penpie столкнулся с нарушением безопасности. Мы приостановили все депозиты и выводы. Наша команда усиленно работает над решением проблемы. Ваша терпение и поддержка неоценимы в это время. Оставайтесь на связи для дальнейших обновлений.
Обращение Penpie к хакеру
Penpie обратился к хакеру с предложением обсудить выплату вознаграждения за безопасное возвращение украденных средств, подчеркнув, что не станет предпринимать правовых действий в случае возврата. Также было предложено хакеру перейти на роль белого хакера, где его навыки будут признаны и вознаграждены. Протокол подчеркнул важность украденных средств для их сообщества и выразил готовность решить проблему совместными усилиями.
На текущий момент часть украденных средств Penpie была переведена на Tornado Cash, что осложняет усилия по их возврату. Penpie перевоссоздал фронтенд своей платформы и активно работает над тем, чтобы пользователи могли безопасно вывести свои оставшиеся средства.
Комментарии