Категории
Все монеты
Курсы
Криптобот 💎
Калькулятор
Прогнозы
Отзывы о криптовалютах
По странам
На русском языке
Белорусские
Украинские
Американские
Японские
Корейские
Китайские
Турецкие
Казахстанские
Мониторинг обменников
Криптокарты 💎
Приложения для обмена
Другие рейтинги
Раздача крипты
Инфографика
NFT
DeFi
Мероприятия
Регулирование
Криптопроекты
Безопасность
Институциональные инвесторы
Майнинг
Эксперты
Инвестирование
Интервью
Биткоин
Эфириум
Эксперимент
Купить оборудование для майнинга
Онлайн-калькулятор доходности майнинга
Доходность асиков и цена
Какую криптовалюту лучше майнить
Майнинговые компании
Индекс страха и жадности
Календарь листинга криптовалют на биржах
Календарь ICO
Рейтинг IDO-площадок
Халвинг Биткоина
Академия криптовалют
Телеграм-каналы про криптовалюту
Аккаунты о крипте в Twitter
Вопросы и ответы
Закон
Обратная связь
Редакция
Книга о криптовалюте
Пожаловаться на биржу
Комьюнити
Блоги
Форум
Топ-100 СМИ
Специалисты по безопасности из Beosin изучили характер атаки на Pendle Penpie
По данным на 4 сентября 2024 года DeFi-протокол Penpie, построенный на базе Pendle Finance, стал жертвой хакерской атаки, в результате которой было похищено около $27 млн в криптовалюте. Сразу после инцидента команда безопасности Beosin провела собственный анализ произошедшего и выявила ключевые уязвимости, которые позволили злоумышленникам успешно осуществить атаку.
Penpie — это платформа DeFi, интегрированная с Pendle Finance, которая предоставляет пользователям возможность блокировать токены PENDLE для получения прав управления и увеличения доходности в рамках экосистемы. Цель площадки заключается в улучшении доходности для клиентов и предоставлении услуг по усилению veTokenomics.
Атака была проведена с использованием уязвимости функции reentrant в контракте вознаграждений, что позволило злоумышленнику манипулировать балансом стейкингового контракта и получить чрезмерные вознаграждения. Основной этап подготовки атаки включал создание злоумышленником нового рынка и Yield с помощью «фабричного контракта» в протоколе Penpie, где контракт SY был использован в качестве атакующего.
Хакер также воспользовался флэш-займом, чтобы получить необходимую ликвидность для проведения атаки, и инициировал функцию batchHarvestMarketRewards, которая позволила ему управлять балансом рынка и получать неправомерные вознаграждения. В процессе атаки злоумышленник несколько раз повторил эту операцию, увеличивая свою прибыль за счет манипуляций с функцией redeemRewards.
Команда Pendle, узнав о случившемся, незамедлительно приостановила работу контрактов, что позволило предотвратить дальнейшие убытки и сохранить активы на сумму $105 млн. Однако хакеру удалось вывести около $27 млн, из которых 2900 ETH (приблизительно $6,9 млн) уже были переведены в Tornado Cash — сервис, известный своими возможностями по анонимизации транзакций.
В настоящее время Penpie активно пытается связаться с хакером, предлагая ему вознаграждение за возвращение украденных средств. В рамках реагирования на инцидент, команда безопасности Beosin рекомендовала добавить модификаторы для защиты от повторных входов в функции контракта, использовать единый контракт для генерации токенов, а также провести полный аудит безопасности перед запуском проекта.
Монеты
Обменники
Вход/регистрация
Обучение
Форум