DeFi 協議 Penpie 遭漏洞攻擊損失 2700 萬美元，駭客已利用混幣協議轉移資金

根據《The Defiant》報導，收益生成協議 Penpie 今天（4日）遭遇了智能合約漏洞攻擊，被盜走的資金高達 2700 萬美元。

Penpie 是一個建立在流動性質押衍生品（LSD）收益聚合協議 Pendle Finance 基礎之上的去中心化金融（DeFi）協議。根據網路安全公司 Cyvers 所述，一個經由加密貨幣混幣協議 Tornado Cash 收到資金的地址執行了惡意交易，Penpie 被駭的資產類型包括 Lido 的 wstETH、Ethena 的 sUSDe 和 Swell 的 rswETH。

Penpie 暫停了平台的存提款功能，Pendle 也證實了這起駭客事件，並表示團隊在事發後隨即暫停 Pendle 上的合約，以防止駭客從 Penpie 竊取更多資金。截稿前 Pendle 已發布事件分析報告，並表示相關漏洞已在多方的協調努力下得到緩解，目前 Pendle 上的智能合約已恢復運作。

Pendle 在社群平台上寫道：「我們的開發團隊確認 Pendle 的合約是安全的，而攻擊是由 Penpie 特有的問題所導致，漏洞與一個允許在 Penpie 上無需許可地上架 Pendle 市場的特殊功能有關。」

Penpie 向駭客表示願意進行談判，希望透過賞金等交換條件以取回被盜資金。然而，Cyvers 追蹤到的鏈上資訊顯示，Penpie 的漏洞利用者已將約 700 萬美元資產存入混幣器 Tornado Cash。

🚨ALERT🚨@Penpiexyz_io exploiter has deposited around $7M to @TornadoCash at https://t.co/f17YcJ6blH

Want to keep your company off our alerts radar? Learn how to secure your assets: Book a Demo 🚀 https://t.co/uUbFkFTp4h #CyversAlert https://t.co/zFX85sK9A9 pic.twitter.com/J20g3HS2T0
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) September 4, 2024

根據 DeFiLlama 的數據，Penpie 的總鎖倉價值（TVL）在被駭之前達到 1.36 億美元。受此事件影響，Penpie 的原生代幣 PNP 在過去 24 小時內已下跌 34.7%，截稿前交易價格約為 0.97 美元。而 Pendle 的 TVL 已達到 24 億美元，在 DeFi 領域中排名第 11。

Post Mortem

Earlier today, a security breach targeting Penpie led to some loss of funds. In response, Pendle promptly paused our contracts, effectively safeguarding ~$105M that could have been further drained from Penpie.

Thanks to coordinated efforts from multiple parties,… https://t.co/KJd4SIRxPK
— Pendle (@pendle_fi) September 4, 2024