Εκμετάλλευση Purrlend Κλέβει $1,5M στο HyperEVM και MegaETH

Το Purrlend έχασε 1,5 εκατομμύριο δολάρια σε ένα exploit DeFi που συνδέεται με μια ύποπτη ενημέρωση του πορτοφολιού διαχειριστή. Δείτε τι συνέβη στο HyperEVM και στο MegaETH.

Το Purrlend, ένα πρωτόκολλο δανεισμού που βασίζεται στο HyperEVM και στο MegaETH, υπέστη ένα σοβαρό exploit. 

Οι επιτιθέμενοι αφαίρεσαν περίπου 1,5 εκατομμύριο δολάρια και στα δύο δίκτυα. 

Η παραβίαση ανάγεται σε μια ύποπτη συναλλαγή multisig διαχειριστή. Χορήγησε μη εξουσιοδοτημένα δικαιώματα bridge ώρες πριν από την επίθεση. 

Το πρωτόκολλο έχει εν τω μεταξύ αναστείλει όλες τις λειτουργίες και έχει ξεκινήσει έρευνα.

Πώς η ενημέρωση του πορτοφολιού διαχειριστή του Purrlend προκάλεσε το exploit

Σύμφωνα με αναφορές, μια βασική συναλλαγή πραγματοποιήθηκε στις 3:20 π.μ. (ώρα Ελλάδας). 

Το multisig διαχειριστή ενημέρωσε τα όρια δανεισμού και ανέθεσε ρόλους σε άγνωστη διεύθυνση.

Αυτή η διεύθυνση έλαβε αργότερα δικαιώματα bridge, τα οποία επέτρεψαν την κοπή token χωρίς εξασφαλίσεις. Εν ολίγοις, τα token εκδόθηκαν χωρίς πραγματική εξασφάλιση που να τα υποστηρίζει.

Αυτός ο τύπος πρόσβασης είναι εξαιρετικά ευαίσθητος στα συστήματα δανεισμού DeFi. Η χορήγησή του σε μια μη επαληθευμένη διεύθυνση άνοιξε την πόρτα για μαζική εξαγωγή κεφαλαίων.

Η κοινότητα επισήμανε γρήγορα τη δραστηριότητα του πορτοφολιού ως ύποπτη. Τα ερωτήματα σχετικά με το ποιος εξουσιοδότησε τη συναλλαγή παραμένουν αναπάντητα.

Το Purrlend επιβεβαίωσε στον επίσημο λογαριασμό του ότι εντόπισε ανώμαλη δραστηριότητα. 

Η ομάδα δήλωσε ότι το πρωτόκολλο έχει τεθεί σε παύση και ότι θα ακολουθήσουν περαιτέρω ενημερώσεις. Δεν έχει δημοσιευθεί ακόμα πρόσθετη τεχνική ανάλυση.

Ανάλυση των κλεμμένων κεφαλαίων στο HyperEVM και το MegaETH

Ο αναλυτής on-chain kirbycrypto ανέλυσε λεπτομερώς τα κλεμμένα περιουσιακά στοιχεία. 

Το HyperEVM υπέστη τη μεγαλύτερη ζημία, χάνοντας συνολικά 1.197.488 δολάρια. Αυτά περιελάμβαναν 449.683 USDC, 214.125 USDT0 και 194.745 USDH. Άλλα κλεμμένα περιουσιακά στοιχεία περιελάμβαναν wstHYPE, UBTC, UETH, kHYPE και WHYPE.

Το MegaETH κατέγραψε απώλειες 324.549 δολαρίων. Οι επιτιθέμενοι αφαίρεσαν 163.169 USDT0, 36,8 WETH και 75.745 USDm από αυτή την αλυσίδα. 

Συνολικά, το ποσό έφτασε περίπου τα 1,52 εκατομμύρια δολάρια. Ο kirbycrypto δημοσίευσε την πλήρη ανάλυση στο X, επικαλούμενος δεδομένα συναλλαγών σε επίπεδο πορτοφολιού.

Τα στοχευμένα περιουσιακά στοιχεία ήταν κυρίως stablecoin και wrapped token. Αυτά αποτελούν συνήθως στόχους υψηλής ρευστότητας στα exploit DeFi.

Η ευκολία μεταφοράς τους μεταξύ αλυσίδων τα έκανε ελκυστικά για τον επιτιθέμενο.

Διαβάστε επίσης:

Αντίδραση της κοινότητας και ο δύσκολος Απρίλιος του DeFi συνεχίζεται

Τα μέλη της κοινότητας αντέδρασαν με απογοήτευση σε διάφορες κοινωνικές πλατφόρμες. 

Αρκετοί χρήστες επεσήμαναν προηγούμενες προειδοποιητικές ενδείξεις. Μία ανησυχία που εγέρθηκε ήταν η έντονη προώθηση του πρωτοκόλλου λίγο πριν από την εκδήλωση token του MegaETH.

Άλλοι το αποκάλεσαν πιθανή εσωτερική επιχείρηση, αν και καμία απόδειξη δεν έχει επιβεβαιώσει αυτόν τον ισχυρισμό.

Δεν έχουν ανακτηθεί κεφάλαια μέχρι στιγμής. Η ομάδα του Purrlend δεν έχει κοινοποιήσει δημόσια κάποιο σχέδιο ανάκτησης. Η έρευνα παραμένει σε εξέλιξη κατά τη στιγμή σύνταξης αυτής της αναφοράς.

Αυτό το περιστατικό προστίθεται σε μια δύσκολη περίοδο για τον τομέα DeFi. Μόνο τον Απρίλιο, οι απώλειες από διάφορες επιθέσεις και exploit ξεπέρασαν τα 600 εκατομμύρια δολάρια. 

Το Purrlend προστίθεται σε μια αυξανόμενη λίστα πρωτοκόλλων που επλήγησαν από παραβιάσεις ασφαλείας αυτόν τον μήνα. Το μοτίβο έχει εγείρει ευρύτερες ανησυχίες σχετικά με τον έλεγχο πρόσβασης στις δομές διακυβέρνησης DeFi.

Η ανάρτηση Purrlend Exploit Steals $1.5M on HyperEVM and MegaETH εμφανίστηκε πρώτα στο Live Bitcoin News.