Penpie برای 27 میلیون دلار در حمله مجدد مورد سوء استفاده قرار گرفت

هکر 19.5 میلیون دلار از UwU Lend برای بهره برداری از قیمت اوراکل تخلیه می کند

پروتکل بازدهی Penpie در تاریخ 3 سپتامبر پس از کشف یک آسیب‌پذیری در قراردادهای هوشمند پروتکل توسط یک عامل مخرب، به مبلغ 27 میلیون دلار مورد سوء استفاده قرار گرفت.

Penpie یک پروتکل بازده در Pendle است که هدف آن افزایش پاداش برای کاربران در شبکه است.

ورود مجدد مورد بهره برداری قرار گرفت

در گزارشی که در 4 سپتامبر رخ داد، شرکت امنیتی بلاک چین Hacken توضیح داد که مهاجم از یک استخر با توکن‌های جعلی برای انجام سرقت استفاده کرده است. بهره‌بردار نسخه‌های بی‌ارزشی از توکن‌های بازدهی پندل، بازده استاندارد (SY) ایجاد کرد و آن‌ها را به دارایی‌های ارزشمند گره زد.

مهاجم پنج قرارداد مخرب را برای عمل به عنوان استخر نقدینگی قانونی و فریب دادن سیستم پاداش Penpie به کار گرفت، اما تنها سه مورد از آنها استفاده شد. او سپس از توکن های جعلی SY به عنوان بلیط برای ادعای بازده واقعی استفاده کرد.

سه تراکنش حمله بین ساعت 6:25 بعد از ظهر تا 6:42 بعد از ظهر UTC انجام شد. اولین تراکنش با 15.7 میلیون دلار بیشترین مقدار را به دست آورد و پس از آن دو تراکنش دیگر که هر کدام 5.6 میلیون دلار از قرارداد Penpie خارج کردند.

بهره‌بردار با 695 Restaked Swell ETH (rswETH)، 4101 Kelp Gain (ageETH)، 2723 Wrapped Staked ETH (wstETH) و 2.52 میلیون Staked Ethena USD (sUSDe) از بین رفت.

دو قرارداد مخرب باقی مانده که توسط بهره‌بردار مستقر شده بودند در این حمله استفاده نشدند، که به دلیل آسیب‌پذیری مجدد در قرارداد Penpie امکان‌پذیر شد.

آسیب‌پذیری ورود مجدد زمانی اتفاق می‌افتد که یک قرارداد باید قبل از به‌روزرسانی وضعیت خود، یک تماس خارجی با قرارداد هوشمند دیگری برقرار کند. بنابراین، قراردادهای مخرب می توانند با تغییر اطلاعات و وارد کردن اقدامات، پروتکل را فریب دهند.

قابل ذکر است که ضرر و زیان می توانست بزرگتر باشد. Pendle تراکنش های مخرب را شناسایی کرد و قراردادهای خود را در ساعت 6:45 عصر UTC، سه دقیقه پس از حمله سوم متوقف کرد. هاکن برجسته کرد:

این بسیار مهم بود، زیرا مهاجم چهارمین قرارداد مخرب را تنها یک دقیقه بعد اجرا کرد. توقف قراردادهای پندل عملاً این اکسپلویت را متوقف کرد و از ضرر بیشتر جلوگیری کرد.

کل دسته توکن ها به اتریوم (ETH) تبدیل شد که تقریباً 10113 ETH است. طبق داده‌های زنجیره‌ای، بهره‌بردار 3000 ETH را به سرویس میکسر Tornado Cash منتقل کرده و در حال حاضر دارای 7113.27 ETH است.

تیم Penpie از طریق یک پیام زنجیره ای و یک پست X با تایید هک و ادعای باز بودن مذاکره در مورد جایزه در ازای وجوه دزدیده شده، با افراد مورد سوء استفاده تماس گرفت. ضمناً قول دادند که هیچ اقدام قانونی پیگیری نخواهد شد.

در این مقاله ذکر شده است