Penpie experimenta brecha de seguridad por $27.3 millones

El protocolo independiente de finanzas descentralizadas (DeFi), Penpie, fue víctima de un hackeo que resultó en la pérdida de $27.3 millones en criptomonedas.

Alerta en las redes

CyverAlerts, la firma de seguridad blockchain, publicó una alerta en X en la que avisó al protocolo acerca de varias transacciones sospechosas en la plataforma:

🚨ALERT🚨Hey @Penpiexyz_io, Our system has raised multiple suspicious transaction involving your contract!

And suspicious address funded by @TornadoCash cash has executed a malicious transaction and got around $27M worth of digital assets!

Affected tokens are $wstETH,… pic.twitter.com/Dgl6ReYLgr

— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) September 3, 2024

Según la alerta, la dirección vinculada con el ataque estaría financiada por el mixer de criptomonedas Tornado Cash y ya había logrado drenar $27.3 millones en fondos compuestos por wstETH, sUSDe y rswETH.

Respuesta de Penpie

Minutos después de emitida la alerta, Penpie publicó una actualización en X donde confirmó que el protocolo independiente se estaba enfrentando a un compromiso de seguridad:

Alert: Penpie has encountered a security compromise.

We have paused all deposits and withdrawals. Our team is working tirelessly to address it. Your patience and support are invaluable during this time.

Stay tuned for further updates.

Publicidad

— Penpie (@Penpiexyz_io) September 3, 2024

Por ende, y como medida preventiva, la plataforma informó que todas las operaciones de depósitos y retiros estarían pausadas hasta nuevo aviso.

Actualización de Pendle

Varias horas después del anuncio, Pendle, la plataforma DeFi sobre la que está construida Penpie, informó que ya había sido atendido el exploit y que las operaciones se habían reactivado:

All contracts have been unpaused and transactions are now resuming as normal

The breach was contained within Penpie, and funds on Pendle are safe.

The Penpie team is working on a post-mortem report, which will be released soon to provide further details. https://t.co/Z8SIJ70z4B

— Pendle (@pendle_fi) September 4, 2024

Asimismo, el equipo dijo que estaban trabajando en un informe en el que aportarían más detalles acerca de la brecha de seguridad en Penpie y sus efectos en el protocolo.

Detalles del incidente

Poco después, Pendle publicó en X el referido informe post mortem en el que señaló que el primer contrato empleado en el ataque a Penpie fue implementado a las 17:45 UTC, con base en la información de transacción registrada en el explorador de bloques Etherscan.

El contrato, según lo expuesto por Pendle, encendió las alertas desde un inicio debido a que, como fue alertado por CyerAlerts, la dirección de origen había sido financiada por Tornado Cash e interactuaba con otros contratos del protocolo.

Luego, a las 18:23 UTC, el contrato malicioso fue desplegado en Penpie.

El equipo del protocolo DeFi, habiendo detectado anteriormente la dirección por sus vínculos de origen, pudo reaccionar apenas 2 minutos después de iniciado el ataque y alertó a expertos de seguridad Seal 911.

En cuanto al exploit, Pendle informó que se debió a una vulnerabilidad presente en Penpie, la cual estaba vinculada a una característica que permitía la inclusión sin permiso de los mercados de Pendle en el protocolo independiente.