В ходе изощренной хакерской атаки, произошедшей 3 сентября 2024 года, была эксплуатирована уязвимость в смарт-контрактах протокола Penpie, что привело к краже более чем 27 миллионов долларов. Penpie, протокол доходности на базе Pendle, предназначенный для максимизации вознаграждений пользователей, стал целью хорошо скоординированной атаки.
Взлом и первоначальные движения средств
Хакер, обнаружив уязвимость, успешно вывел средства из протокола Penpie. Вскоре после этого украденные средства были распределены по семи адресам :
0xd440d2c13e9c0b86f54da4f515f68c56f0c36cc3
0x37767e2d9131c84441567da5474158b0918b65a4
0x8c37ad70ce51e54d2d75da40668e9530d337f26b
0x10f8c81386a2563f687011f4ebc8f2091cb501e8
0x688413d6cae1c0e0882e274a98e0b901fdf7233c
0xf61aa5fdb43ecbb90ff12086045c9432eee3d03e
0x415a7916c0f52a95f16034d74fb89528c0fc1b11
В попытке замести следы хакер направил украденные средства через сервис микширования криптовалют Tornado.cash, ориентированный на конфиденциальность. Как и во многих подобных случаях, отслеживание средств через Tornado.cash представило значительные трудности из-за разрывов в цепочке транзакций, возникающих при микшировании. Тем не менее, используя передовые методы, аналитики Match Systems смогли определить вероятные направления для части отмытых средств.
THORChain и консолидация в BTC
После прохождения через Tornado.cash большая часть украденных активов — в размере 4 879 ETH — была отслежена до криптовалютного моста THORChain. Оттуда средства были конвертированы и консолидированы в токены BTC. Эти средства были распределены по различным «адресам-сборщикам» частями по 4 или 8 BTC, что в общей сложности составило 188 BTC (часть средств была смешана со средствами от других взломов):
bc1qqhlf4vau5k9skw3kfleanuc52y9vwevjg3e8du
bc1q08xthryj52nf7gmk0j8v8zr8vumt2wfguvftxj
bc1q6m6xfryxqplmz07kr0g3atzrcmtnynr3d2r6xd
bc1qgasehvksj4kj9tz93l5z8eyhqenm42xf9clu7d
bc1qg62v4q5lgtqq5a87epx56nfhmv4jtmmgcf99el
bc1qv8tdsa42s7n8z3cj7ygy59lrkr3uumar7qgygy
bc1qvq79fqwnlyzsruc9qxya0m5g8nl806dtnsug3v
bc1qfyejx568ephjtwsqt2nt4kfksygsl72grqfr0g
bc1qk2g2xavrlwqq92lam6hjallx8893cdrxxkqky4
bc1qp8lptxmzj9hz3pfey37j2kp6vjgadmgfklvdyp
bc1qhkkqcmjqgld2kd7p7c7m4svgmtgylhdryzw5f8
bc1q30rt7lfkh0ezkgf3pxygp09zgaycwlwu7ea8r8
bc1qdvkwmmnwfryua36el5y2xnqt2w7x6447hy5nxc
bc1qgrglcudgxesyuv23cwxasuw0zanh6qks5eu5es
bc1qzhsge8z4ffrlrhkrw7wxd59e6u5tfd9u3lvk09
bc1qgf9t2ysgpcnxp8g2y0hk9zushxc0z3kqr682zt
bc1qq3wjvfuesc9wewkuz7nxkmhgs260exmxjqt8sd
bc1q2cm7mflnplasnxetn5mrkcqc7zwuyfjmm3vnyy
bc1q9v6dwrgncam92wwk5d8hkd4yghqt2gn8jqmqky
bc1qqc8a5e9klvh45s60szuppha669n0r0dgm4dtqn
bc1q72e5nxlzmfpv60pkf2gqhy4n9drtm2x8t77w7g
bc1qzfvpynh3eq0gcl6mw3zg0ga6z63u2ujhglhza9
bc1qw8vmz4fexld6hhjxpfua9n3j0wfxyu6xahzmp3
bc1q9t6ztrahwvh25rjtzk3ltkxwwk5ef6lwkhyx5g
bc1q9reefhx8p3vw6re3yhgvx8776xt8xczpcw0y7l
bc1qk6ty9lnyz7rg0wxsurgxswppe9mkk2r740jac6
bc1qzq435fc5umvr000nelu4r9gk5dx3xyp2zwsmy3
bc1qy6aws20q5q6rst9zs93x2jn2tg9t7xtelcqmw8
bc1qk0kkapemem6ys03e234wask5jcy8qkrrt6fm94
bc1qyj95msu7exzvvunseqy5v52xgpexecllqh76ry
bc1qhd7qyalqes9gy3yjua6rx75ywxl42x5dt6ea0k
bc1q8y9e36567433u0u5cym6neprm4e9uj0gw5wy96
bc1q2jz93p8ugmcnxvgqxdv99yz8jr5nykud4v45k4
Дополнительные движения средств
В то время как большая часть украденных средств была направлена через THORChain, меньшая часть, примерно 4 082 ETH, была отправлена на биржу Exch. Эта часть остается под расследованием. Остальные активы были распределены по нескольким десяткам адресов после микширования.
Сложная сеть крипто-отмывания
Эта атака подчеркивает все более изощренные методы, которые хакеры используют для кражи и отмывания средств через децентрализованные платформы. Tornado.cash и кроссчейн-мосты, такие как THORChain, стали ключевыми инструментами для сокрытия происхождения незаконных средств, что затрудняет правоохранительным органам и блокчейн-аналитикам отслеживание полного потока украденных активов. Атака на Penpie является ярким примером продолжающейся борьбы между киберпреступниками и профессионалами в области кибербезопасности. Хотя использование миксеров создает значительные барьеры для отслеживания, передовые методы демикширования и инструменты анализа блокчейна позволили восстановить некоторые транзакционные связи. Компания Match Systems, лидер в области кибербезопасности, активно участвовала в расследовании этого дела, используя передовые технологии для отслеживания украденных активов, хотя результаты остаются вероятностными, а не окончательными. Эта атака служит суровым напоминанием о том, что по мере роста мира децентрализованных финансов (DeFi) будет расти и изощренность тех, кто стремится использовать уязвимости внутри него.
Упрощенная визуализация движения средств
