Експлойт Purrlend краде $1,5 млн на HyperEVM і MegaETH

Purrlend втратив $1,5 млн в результаті експлойту DeFi, пов'язаного з підозрілим оновленням адмін-гаманця. Дізнайтесь, що сталося на HyperEVM та MegaETH.

Purrlend, протокол кредитування, побудований на HyperEVM та MegaETH, зазнав серйозного експлойту. 

Зловмисники вивели приблизно $1,5 млн з обох мереж. 

Злом пов'язаний із підозрілою транзакцією адмін-мультипідпису. Вона надала несанкціоновані привілеї моста за кілька годин до атаки. 

Відтоді протокол призупинив усі операції та розпочав розслідування.

Як оновлення адмін-гаманця Purrlend спровокувало експлойт

За даними звітів, ключова транзакція відбулася о 1:20 за UTC. 

Адмін-мультипідпис оновив ліміти запозичень і призначив ролі невідомій адресі.

Ця адреса згодом отримала привілеї моста, що дозволило карбувати токени без забезпечення. Коротко кажучи, токени карбувалися без реального заставного забезпечення.

Такий тип доступу є надзвичайно чутливим у системах кредитування DeFi. Надання його неперевіреній адресі відкрило можливість для масового виведення коштів.

Спільнота швидко позначила активність гаманця як підозрілу. Питання про те, хто санкціонував транзакцію, залишаються без відповіді.

Purrlend підтвердив на своєму офіційному акаунті, що виявив нерегулярну активність. 

Команда повідомила, що протокол призупинено і незабаром з'являться подальші оновлення. Додаткових технічних деталей поки не надано.

Розбивка вкрадених коштів по HyperEVM та MegaETH

Онлайн-аналітик kirbycrypto детально розібрав вкрадені активи. 

HyperEVM зазнав більших втрат — загалом $1 197 488. Це включало 449 683 USDC, 214 125 USDT0 та 194 745 USDH. Серед інших вкрадених активів — wstHYPE, UBTC, UETH, kHYPE та WHYPE.

MegaETH зафіксував втрати на $324 549. Зловмисники вивели з цього ланцюга 163 169 USDT0, 36,8 WETH та 75 745 USDm. 

Разом загальна сума склала приблизно $1,52 млн. Kirbycrypto опублікував повну розбивку на X, посилаючись на дані транзакцій на рівні гаманців.

Цільовими активами були переважно стейблкоїни та загорнуті токени. Вони, як правило, є мішенями з високою ліквідністю в експлойтах DeFi.

Легкість їхнього переміщення між ланцюгами зробила їх привабливими для зловмисника.

Читайте також:

Реакція спільноти та складний квітень для DeFi продовжується

Члени спільноти відреагували з роздратуванням у соціальних мережах. 

Декілька користувачів вказали на попередні тривожні сигнали. Одним із занепокоєнь стала активна рекламна кампанія протоколу безпосередньо перед токен-івентом MegaETH.

Інші назвали це можливою внутрішньою схемою, хоча жодних доказів цього твердження немає.

Жодних коштів досі не повернуто. Команда Purrlend публічно не поділилася планом відновлення. Розслідування триває на момент публікації цього звіту.

Цей інцидент додається до важкого періоду для сектора DeFi. Лише за квітень збитки від різних атак та експлойтів перевищили $600 млн. 

Purrlend поповнив зростаючий список протоколів, які зазнали порушень безпеки цього місяця. Ця тенденція викликала ширше занепокоєння щодо контролю доступу в структурах управління DeFi.

Публікація Purrlend Exploit Steals $1.5M on HyperEVM and MegaETH вперше з'явилася на Live Bitcoin News.