Exploit Purrlend Kradnie 1,5 mln USD na HyperEVM i MegaETH

Purrlend stracił 1,5 mln USD w wyniku exploita DeFi powiązanego z podejrzaną aktualizacją portfela administratora. Zobacz, co wydarzyło się na HyperEVM i MegaETH.

Purrlend, protokół pożyczkowy zbudowany na HyperEVM i MegaETH, padł ofiarą poważnego exploita. 

Atakujący opróżnili z obu sieci łącznie około 1,5 miliona dolarów. 

Naruszenie bezpieczeństwa ma związek z podejrzaną transakcją multisig administratora. Na kilka godzin przed atakiem przyznała ona nieautoryzowane uprawnienia do mostu. 

Protokół wstrzymał od tej pory wszelkie operacje i wszczął dochodzenie.

Jak aktualizacja portfela administratora Purrlend wywołała exploita

Według doniesień, kluczowa transakcja miała miejsce o godzinie 1:20 czasu UTC. 

Multisig administratora zaktualizował limity pożyczek i przypisał role nieznanemu adresowi.

Ten adres otrzymał następnie uprawnienia do mostu, co umożliwiło bicie tokenów bez zabezpieczenia. Krótko mówiąc, tokeny były bite bez żadnego rzeczywistego zabezpieczenia w postaci zastawu.

Ten rodzaj dostępu jest bardzo wrażliwy w systemach pożyczkowych DeFi. Przyznanie go niezweryfikowanemu adresowi otworzyło drzwi do masowego wyprowadzania środków.

Społeczność szybko oznaczyła aktywność portfela jako podejrzaną. Pytania o to, kto autoryzował transakcję, pozostają bez odpowiedzi.

Purrlend potwierdził na swoim oficjalnym koncie, że wykrył nieregularną aktywność. 

Zespół poinformował, że protokół został wstrzymany i że zostaną przekazane dalsze aktualizacje. Żadne dodatkowe szczegóły techniczne nie zostały jeszcze opublikowane.

Podział skradzionych środków na HyperEVM i MegaETH

Analityk on-chain kirbycrypto szczegółowo rozbił skradzione aktywa. 

HyperEVM poniósł większe straty, tracąc łącznie 1 197 488 USD. Obejmowały one 449 683 USDC, 214 125 USDT0 i 194 745 USDH. Inne skradzione aktywa to wstHYPE, UBTC, UETH, kHYPE i WHYPE.

MegaETH odnotował straty w wysokości 324 549 USD. Atakujący przejęli z tej sieci 163 169 USDT0, 36,8 WETH i 75 745 USDm. 

Łącznie suma osiągnęła około 1,52 miliona dolarów. Kirbycrypto opublikował pełne zestawienie na platformie X, powołując się na dane transakcji na poziomie portfela.

Atakowane aktywa to przede wszystkim stablecoiny i tokeny opakowane. Są to zazwyczaj cele o wysokiej płynności w exploitach DeFi.

Łatwość ich przemieszczania między łańcuchami sprawiła, że były atrakcyjne dla atakującego.

Czytaj również:

Reakcja społeczności i trudny kwiecień dla DeFi trwa

Członkowie społeczności reagowali z frustracją na platformach społecznościowych. 

Kilku użytkowników wskazało na wcześniejsze sygnały ostrzegawcze. Jednym z poruszonych problemów była intensywna promocja protokołu tuż przed wydarzeniem tokenowym MegaETH.

Inni nazwali to potencjalnym działaniem od wewnątrz, choć żaden dowód nie potwierdził tego twierdzenia.

Jak dotąd nie odzyskano żadnych środków. Zespół Purrlend nie ujawnił publicznie planu odzyskania środków. Dochodzenie jest nadal w toku w chwili publikacji tego raportu.

Incydent ten wpisuje się w trudny okres dla sektora DeFi. Sam kwiecień przyniósł straty przekraczające 600 milionów dolarów z różnych ataków i exploitów. 

Purrlend dołącza do rosnącej listy protokołów dotkniętych naruszeniami bezpieczeństwa w tym miesiącu. Wzorzec ten wzbudził szersze obawy dotyczące kontroli dostępu w strukturach zarządzania DeFi.

The post Purrlend Exploit Steals $1.5M on HyperEVM and MegaETH appeared first on Live Bitcoin News.