O Protocolo de Finanças Descentralizadas (DeFi) Penpie recentemente foi vítima de uma exploração que levou milhões de dólares em vários criptoativos. Pendle, o protocolo no qual Penpie é baseado, abordou o incidente em uma postagem post-mortem, revelando ter evitado mais perdas no valor de mais de US$ 100 milhões em fundos de usuários.
Hacker de Criptomoedas Drena Milhões do Protocolo DeFi
Na terça-feira, o projeto DeFi Penpie, um otimizador de rendimento independente baseado em Pendle, viu mais de US$ 20 milhões em fundos drenados do protocolo. De acordo com os relatórios, o ator malicioso explorou uma vulnerabilidade em seu mecanismo de distribuição de recompensas e roubou vários criptoativos, incluindo Ethena Staked USDe (sUSDe), wraped USDC e staked Ether (ETH).
De acordo com a empresa de segurança PeckShield, o explorador usou um contrato de “mercado maligno” que inflou o saldo de staking para reivindicar recompensas injustificadas. Pendle confirmou que a vulnerabilidade estava vinculada a um recurso exclusivo do Penpie que permitia “listagem sem permissão de mercados Pendle no Penpie”.
Attacker uses "evil market" to exploit Penpie's vulnerability. Source: PeckShield on X
O roubo de criptomoedas levou US$ 7,87 milhões em wstETH, US$ 2,51 milhões em sUSDe, US$ 3,4 milhões em agETH, US$ 2,22 milhões em rswETH e quatro outros tokens Yield relacionados a Pendle. Após a exploração, o hacker trocou os ativos de criptomoedas por 11.113 ETH usando o protocolo Li.fi.
Os fundos roubados, no valor de $27,3 milhões, foram posteriormente transferidos para o misturador de criptomoedas Tornado Cash. De acordo com o relatório, o explorador enviou mais de 3.000 ETH, cerca de $7,2 milhões, para o misturador na manhã de quarta-feira.
A Penpie Team enviou uma mensagem ao invasor, pedindo que ele resolvesse o incidente “amigavelmente”. O protocolo reconheceu a vulnerabilidade do projeto e o papel do exploit em trazê-lo à tona, propondo uma recompensa white hat pelo retorno seguro dos fundos.
Além disso, eles ofereceram ao invasor uma oportunidade de “transição para uma função white-hat, onde suas habilidades serão reconhecidas e recompensadas”. A equipe garantiu que a identidade do hacker permaneceria confidencial e que eles não entrariam com nenhuma ação legal contra ele.
Até o momento em que este artigo foi escrito, não há relatos de uma resolução entre o explorador e a equipe do protocolo.
Post-Mortem: Resposta rápida evita perdas futuras
Na manhã de quarta-feira, a equipe de Pendle compartilhou um post-mortem detalhando o incidente. No post X, o protocolo DeFi explicou que a resposta efetiva do projeto evitou maiores perdas dos fundos de Penpie.
Pendle afirmou que seu “sistema de monitoramento interno em tempo real” detectou imediatamente atividades suspeitas, já que o contrato foi financiado com 10 ETH do Tornado Cash horas antes do assalto.
Timeline of the attack and Pendle's response. Source: Pendle on X
No momento do primeiro ataque, as partes envolvidas estavam cientes da bandeira vermelha e rapidamente se mobilizaram para proteger o ecossistema do projeto de ataques subsequentes. Vinte minutos após a exploração, a equipe pausou todos os contratos no Pendle, o que aparentemente ajudou a evitar mais perdas e proteger US$ 105 milhões em criptoativos do Penpie.
O protocolo DeFi também contatou outros projetos baseados em Pendle, como Equilibria e StakeDAO, para verificar se eles estavam sob ataque e avaliar a situação. Após investigar, a equipe determinou que o Pencosystem estava seguro e o ataque era exclusivo da Penpie antes de retomar as operações:
Uma violação de segurança direcionada à Penpie levou a alguma perda de fundos. Em resposta, a Pendle prontamente pausou nossos contratos, efetivamente salvaguardando ~$105M que poderiam ter sido drenados da Penpie. Graças aos esforços coordenados de várias partes, novas violações foram mitigadas, e os contratos da Pendle agora foram retomados. As operações normais foram retomadas.
No final das contas, a equipe de Pendle garantiu aos usuários que seus fundos nunca estiveram em risco e que eles não foram afetados pela exploração.
Ethereum (ETH) is trading at $2,472 in the weekly chart. Source: ETHUSDT on TradingView