Платформа децентрализованных финансов (DeFi) Penpie, построенная на базе сети Pendle, как сообщается, подверглась серьезной атаке 3 сентября 2024 года.

По данным системы онлайн-мониторинга в режиме реального времени Cyvers Alert, взлом привел к потере не менее 26 миллионов долларов в различных завернутых и синтетических криптоактивах.

Стали известны подробности атаки

Компания по надзору за безопасностью заявила, что атака на Penpie была инициирована смарт-контрактом, который первоначально был профинансирован на сумму 10 эфиров (ETH) через Tornado Cash.

Затронутый протокол позже признал факт нарушения, заявив, что произошел «компрометация безопасности». Команда проекта также сообщила пользователям, что все транзакции были остановлены и что они работают над решением проблемы.

Компания Pendle, на которой работает осушенная платформа, также обратилась в социальные сети, заявив, что обнаружила атаку. Он также заверил пользователей, что после проведения «тщательного расследования» пришел к выводу, что его собственные средства в безопасности. Однако в качестве меры предосторожности сеть также приостановила все контракты и предложила команде Penpie помощь в разрешении инцидента.

Защитные меры и вскрытие

Позже платформа опубликовала первоначальный отчет о вскрытии, в котором подробно описана хронология событий, произошедших до, во время и после инцидента.

В отчете команда Pendle сообщила, что их система отметила контракт, предположительно стоящий за кражей, сразу после его развертывания, поскольку он финансировался из Tornado Cash.

Они немедленно перешли в состояние повышенной готовности, тщательно изучая потенциальную угрозу безопасности контракта для сети. Именно в это время произошел эксплойт Penpie, в результате чего команда Pendle приняла защитные меры для защиты сети и ее более широкой экосистемы от любых последующих атак.

Протокол также заручился помощью других органов кибербезопасности, в том числе Seal 911, для разработки стратегий по снижению дальнейших рисков. Однако после дальнейших проверок Pendle отменила выполнение своих контрактов в 00:50 UTC и возобновила нормальную работу.

Со своей стороны, Penpie обратилась к неизвестному хакеру и выступила за «положительное разрешение» инцидента.

В своем выступлении проект DeFi заявил о своей готовности договориться о вознаграждении с преступником, которое позволило бы безопасно вернуть украденные средства. Кроме того, он пообещал, что не будет предпринимать никаких юридических действий против эксплуататора, если он согласится на предложение, согласно которому он возьмет на себя роль белой шляпы. Они также заверили их, что их личность не будет раскрыта.

Однако на момент публикации не было ясно, воспользовался ли злоумышленник предложением Пенпи и связался ли он каким-либо образом с командой протокола. Тем временем его деятельность остается приостановленной, и команда работает над восстановлением внешнего интерфейса, чтобы обеспечить пользователям доступ к своим средствам.

Источник