DeFi-протокол Penpie потерял $27 млн в результате эксплойта
3 сентября хакер атаковал DeFi-протокол Penpie и вывел цифровые активы на сумму более $27,3 млн. Об этом сообщили специалисты PeckShield.
The loss is >$27M if we take into account the stolen YT tokens and possibly loss from other chain. https://t.co/5bdhjf2WIH
— PeckShield Inc. (@peckshield) September 3, 2024
«Первопричиной стало внедрение злонамеренного рынка, который использовали для раздувания баланса стейкинга с целью получения необоснованных вознаграждений», — пояснили эксперты.
Согласно заявлению команды Penpie, внутренняя система мониторинга обнаружила подозрительный контракт, финансируемый из миксера Tornado Cash. Разработчики остановили ввод и вывод средств, а также работу всех рынков на платформе.
По их словам, своевременные действия помогли защитить примерно $105 млн, которые хакер теоретически мог вывести из Penpie.
Команда подтвердила, что злоумышленник использовал функцию протокола, позволяющую размещать рынки без ограничений.
Post Mortem
— Pendle (@pendle_fi) September 4, 2024
Earlier today, a security breach targeting Penpie led to some loss of funds. In response, Pendle promptly paused our contracts, effectively safeguarding ~$105M that could have been further drained from Penpie.
Thanks to coordinated efforts from multiple parties,… https://t.co/KJd4SIRxPK
На момент написания платформа вернулась к работе в штатном режиме. В Penpie предложили хакеру перейти в разряд «белых шляп», вернув средства за вознаграждение. Взамен ему пообещали сохранение конфиденциальности и отсутствие юридического преследования.
«Мы надеемся, что вы видите ценность в решении этого вопроса мирным путем. Пожалуйста, свяжитесь с нами, чтобы обсудить детали», — написали разработчики.
Эксперты PeckShield зафиксировали перевод хакером по меньшей мере примерно 3000 ETH (~$7,32 млн) на Tornado Cash для отмывания.
#PeckShieldAlert @Penpiexyz_io exploiter-labeled address 0x2f2d…1C39 (Balance: 7.1K $ETH) has moved 1K $ETH (worth ~$2.4M) to the related laundering address 0xD440…6cC3 (Laundering)
— PeckShieldAlert (@PeckShieldAlert) September 4, 2024
The laundering address 0xD440…6cC3 has transferred another 100 $ETH to #TornadoCash pic.twitter.com/MW8RUPKrim
Цена токена Penpie (PNP) отреагировала на инцидент обвалом с отметки $1,33 до $0,89. Котировки восстановились к уровням в районе $0,98, потеряв за сутки 34,2% (CoinGecko).
Капитализация монеты составляет ~$5,15 млн.
По данным DeFi Llama, стоимость заблокированных в смарт-контрактах Penpie средств — $90,44 млн. На зафиксированном в июле максимуме показатель превышал $386 млн.
Напомним, в августе хакеры украли цифровые активы на сумму $313,86 млн в ходе более чем 10 атак, подсчитали в PeckShield.
Обновление (04.09.2024 г., 11:20 (Киев/МСК): исправлено ошибочно указанное наименование проекта Pendle.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!