O protocolo de rendimento Penpie foi hackeado em US$ 27 milhões em 3 de setembro depois que um agente malicioso explorou uma vulnerabilidade nos contratos inteligentes do protocolo.
Penpie é um protocolo de rendimento em Pendure que visa aumentar as recompensas para os usuários na rede.
Reentrada explorada
Em 4 de setembro, uma declaração da empresa de segurança de blockchain Hacken explicou que o invasor usou um pool com tokens falsos para executar o assalto. O explorador criou versões sem valor dos tokens de rendimento da Pendle, Standardized Yield (SY), e os vinculou a ativos valiosos.
O invasor implantou cinco contratos maliciosos para atuar como pools de liquidez legítimos e enganar o sistema de recompensas da Penpie, mas apenas três deles foram usados. Ele então alavancou os tokens SY falsos como tickets para reivindicar rendimento real.
Três transações de ataque foram executadas entre 6:25 PM e 6:42 PM UTC. A primeira transação extraiu a maior quantia, desviando $15,7 milhões, seguida por duas outras transações que tiraram $5,6 milhões cada do contrato da Penpie.
O explorador escapou com 695 Swell ETH Restaked (rswETH), 4.101 Kelp Gain (agETH), 2.723 Wrapped Staked ETH (wstETH) e 2,52 milhões de Ethena USD Staked (sUSDe).
Os dois contratos maliciosos restantes implantados pelo explorador não foram usados no ataque, o que foi possível devido a uma vulnerabilidade de reentrada no contrato do Penpie.
Uma vulnerabilidade de reentrada ocorre quando um contrato precisa fazer uma chamada externa para outro contrato inteligente antes de atualizar seu próprio estado. Assim, contratos maliciosos podem enganar o protocolo alterando informações e inserindo ações.
Notavelmente, as perdas poderiam ter sido maiores. Pendle identificou as transações maliciosas e pausou seus contratos às 6:45 PM UTC, três minutos após o terceiro ataque. Hacken destacou:
“Isso foi crucial, pois o invasor implantou um quarto contrato malicioso apenas um minuto depois. Pausar os contratos de Pendle efetivamente interrompeu a exploração, prevenindo mais perdas.”
Todo o lote de tokens foi convertido para Ethereum (ETH), totalizando aproximadamente 10.113 ETH. O explorador transferiu 3.000 ETH para o serviço de mixer Tornado Cash e atualmente detém 7.113,27 ETH, de acordo com dados na rede.
A equipe Penpie alcançou os explorados por meio de uma mensagem na cadeia e uma publicação reconhecendo o hack e alegando estar aberto a negociar uma recompensa em troca dos fundos roubados. Além disso, eles prometeram que nenhuma ação legal seria movida.
