Penpie - Rekt
El mundo cripto nunca duerme y sus hackers tampoco.
En el último episodio de "¿Quién quiere ser millonario: Edición DeFi?", Penpie ha caído en el lado equivocado de un exploit de $27 millones.
El 3 de septiembre, un protocolo de yield farming, construido sobre el ecosistema de Pendle Finance, aprendió una costosa lección sobre los peligros de las integraciones financieras complejas.
Mientras se difundía la noticia del exploit, el token PNP entró en caída libre, desplomándose un brutal 40%, mientras que el token PENDLE no escapó ileso, recibiendo un golpe del 9% en el caos.
Otro recordatorio amable de que, en el juego de alto riesgo del yield farming, a veces lo único que cosechas es arrepentimiento.
Cuando la música se detiene en este baile DeFi de alto riesgo, ¿qué inversores se quedarán sosteniendo bolsas vacías?
Créditos: Chaofan Shou, Cyvers, Pendle, Penpie, PeckShield, Ancilia
Las primeras señales de problemas llegaron cuando Chaofan Shou dio la alarma en Twitter: "Parece que Penpie fue hackeado. Pérdida de $17M."
No pasó mucho tiempo antes de que los detectives de la blockchain se movilizaran y, en 20 minutos, Cyvers confirmó lo peor ya que el daño había crecido a la asombrosa suma de $27 millones.
Pendle Finance, la plataforma subyacente a Penpie, se apresuró a asegurar a los usuarios que sus fondos estaban seguros.
Sin embargo, pausaron todos los contratos para mitigar aún más el daño.
Penpie siguió el ejemplo, admitiendo un "compromiso de seguridad" y congelando todos los depósitos y retiros.
En un espacio donde el código se supone que es la ley, parece que algunos abogados astutos encontraron una laguna.
Pero en este tribunal digital, ¿quién está realmente dando las órdenes?
Según los expertos de blockchain en PeckShield, la causa raíz fue "la introducción de un mercado malicioso que se utilizó para inflar el balance de staking y reclamar recompensas no merecidas."
Traducción para los no técnicos: el atacante creó un mercado falso de Pendle, engañando esencialmente a los contratos de Penpie para que pensaran que estaban lidiando con el mercado real.
Ancilia proporcionó más información, destacando que el exploit surgió de una astuta laguna en la función batchHarvestMarketRewards() de Penpie.
En un instante, el atacante lanzó un ataque de reentrancia, creando un mercado falso de Pendle para engañar a los contratos de Penpie.
Cuando la función _harvestBatchMarketRewards() llamó a redeemRewards(), el contrato del hacker se coló, ejecutando una maniobra engañosa que haría que los estafadores más experimentados sintieran envidia.
¿El resultado final? Un doble cobro de manual, inflando el balance de staking del atacante y desviando recompensas inmerecidas.
Transacción del exploit: 0x56e09abb35ff12271fdb38ff8a23e4d4a7396844426a94c4d3af2e8b7a0a2813
Direcciones del Exploiter:
0x7a2f4d625fb21f5e51562ce8dc2e722e12a61d1b
0xc0Eb7e6E2b94aA43BDD0c60E645fe915d5c6eb84
Mercado falso de Pendle:
0x0ab305033592E16dB7D8e77d613F8d172a76ddc9
Contratos de ataque:
Arbitrum: 0x4BC9815b859c8172CEe1ab2CD372fD0Eb00eb487
Ethereum: 0x4aF4C234B8CB6e060797e87AFB724cfb1d320Bb7
A pesar de las auditorías realizadas por WatchPug y Zokyo, este error flagrante se les escapó.
Penpie ha publicado un mensaje para el hacker en Twitter, esperando recuperar el botín robado.
Pendle publicó un Post Mortem en nombre de Penpie en Twitter, donde mencionaron los $105 millones que no fueron robados, pero no hablaron sobre lo que fue robado y los detalles detrás del exploit.
Otro recordatorio más de que, incluso en el mundo de los sistemas sin confianza, todavía estamos depositando mucha fe en que los protocolos hagan su debida diligencia de seguridad.
El atacante, armado solo con un código ingenioso y una pizca de audacia, logró superar múltiples capas de seguridad supuesta.
En este juego de gato y ratón digital, ¿estamos construyendo fortalezas o simplemente laberintos más elaborados?
La desgracia de Penpie sirve como un recordatorio claro de que, en el salvaje oeste de DeFi, incluso las herramientas más afiladas pueden volverse romas.
Es una historia tan antigua como el tiempo (o al menos tan antigua como los smart contracts): en la prisa por innovar, la seguridad a veces queda relegada a un segundo plano.
A medida que el espacio DeFi continúa evolucionando a una velocidad vertiginosa, queda claro que se necesitan medidas de seguridad y procesos de auditoría aún más rigurosos.
Pero en un mundo donde el lema es "muévete rápido y rompe cosas", ¿realmente podemos esperar que los protocolos pongan el freno?
¿Es demasiado pedir que los protocolos que gestionan millones de fondos de usuarios auditen cada actualización?
En este caso, parece que sí.
Por ahora, Penpie se une a la lista creciente de protocolos que han caído víctimas de exploits en el salvaje oeste digital.
¿Es hora de que los protocolos DeFi prioricen la seguridad sobre la velocidad, auditando cuidadosamente cada actualización y reforzando sus defensas, o continuarán jugando con los fondos de los usuarios y dejándose vulnerables a los implacables "blackhats"?
REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.
dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
aviso legal:
REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.
te podría gustar...
Tapioca DAO - Rekt
Otro día, otro robo de clave privada, otro protocolo rekt. Tapioca DAO en Arbitrum sufre una pérdida de aproximadamente $4.4 millones debido al compromiso de una clave privada. Se han recuperado algunos fondos, aunque el alcance total del daño aún está por verse.
Radiant Capital - Rekt II
Radiant Capital sufre un recorte de $53 millones. ¿Pensabas que los multi-sigs eran seguros? Piénsalo otra vez. La "robusta" configuración 3/11 de Radiant se desplomó como un castillo de naipes. Exploited dos veces en 2024, el futuro de Radiant parece tan brillante como un agujero negro.
Sobreviviendo al Peligro Digital
¿Crees que has dominado el campo minado cripto? Piensa de nuevo. Sobreviviendo al Peligro Digital - La guía rekt para convertir la paranoia en una forma de arte. Es hora de mejorar tus habilidades de supervivencia en cripto.