3 вересня хакер атакував DeFi-протокол Pendle і вивів цифрові активи на суму понад $27,3 млн. Про це повідомили фахівці PeckShield.
The loss is >$27M if we take into account the stolen YT tokens and possibly loss from other chain. https://t.co/5bdhjf2WIH
— PeckShield Inc. (@peckshield) September 3, 2024
«Першопричиною стало впровадження зловмисного ринку, який використовували для роздування балансу стейкінгу з метою отримання необґрунтованих винагород», — пояснили експерти.
Згідно із заявою команди Pendle, внутрішня система моніторингу виявила підозрілий контракт, що фінансується з міксера Tornado Cash. Розробники зупинили введення і виведення коштів, а також роботу всіх ринків на платформі.
За їхніми словами, своєчасні дії допомогли захистити приблизно $105 млн, які хакер теоретично міг вивести з Pendle.
Команда підтвердила, що зловмисник використовував функцію протоколу, що дозволяє розміщувати ринки без обмежень.
Post Mortem
Earlier today, a security breach targeting Penpie led to some loss of funds. In response, Pendle promptly paused our contracts, effectively safeguarding ~$105M that could have been further drained from Penpie.
Thanks to coordinated efforts from multiple parties,… https://t.co/KJd4SIRxPK
— Pendle (@pendle_fi) September 4, 2024
На момент написання платформа повернулася до роботи в штатному режимі. У Pendle запропонували хакеру перейти в розряд «білих капелюхів», повернувши кошти за винагороду. Натомість йому пообіцяли збереження конфіденційності та відсутність юридичного переслідування.
«Ми сподіваємося, що ви бачите цінність у розв’язання цього питання мирним шляхом. Будь ласка, зв’яжіться з нами, щоб обговорити деталі», — написали розробники.
Ціна токена Penpie (PNP) відреагувала на інцидент обвалом з позначки $1,33 до $0,89. Котирування відновилися до рівнів у районі $0,98, втративши за добу 34,2% (CoinGecko).
Джерело: CoinGecko.
Капіталізація монети становить ~$5,15 млн.
За даними DeFi Llama, вартість заблокованих у смартконтрактах Penpie коштів — $90,44 млн. На зафіксованому в липні максимумі показник перевищував $386 млн.
Нагадаємо, у серпні хакери вкрали цифрові активи на суму $313,86 млн під час більш ніж 10 атак, підрахували в PeckShield.