仮想通貨プロジェクト「Penpie」の35億円流出事件｜特定箇所の脆弱性が原因か

先日、DeFiプロジェクト「Penpie」から約35億円分の仮想通貨が不正流出した事件の詳細が報告されました。

We have prepared a detailed Post-Mortem Report outlining our efforts over the past 24 hours to address the security breach at @Penpiexyz_io, including a thorough analysis of the situation.

We remain committed to transparency and the recovery of funds.

Details:… pic.twitter.com/wZ8GU73BQ8

— Penpie (@Penpiexyz_io) September 4, 2024

盗まれた資金と攻撃者の活動は現在も追跡中で、EthereumとArbitrumチェーン上のPenpieフロントエンドは事件発生から約3時間後に修正されたとのことです。

今回の不正流出の根本原因は、特定の関数におけるReentrancy Protection（再入保護）の脆弱性と報告されています。これは攻撃者がコントラクトの引き出しプロセスを操作する攻撃を防ぐための対策の1つです。

影響を受けたプールは、wstETH、sUSDe、egETH、rswETHのPendle市場のトークンとなっています。

対応と今後

Penpieは現在、法執行機関と積極的に協力し、攻撃者の特定と逮捕に向けて動いているとのことです。また、ハッカーへのオンチェーンメッセージも複数回送信され、ホワイトハット交渉を模索していますが、今のところ返信はありません。預金、引き出し、その他の関連する進展については、コミュニティに継続的に情報が提供されています。

今後の対応としては、すべてのプロトコルとスマートコントラクトの包括的なセキュリティ監査を実施し、脆弱性を特定する予定としています。また、ユーザーに対しては進行中の状況と資金確保のために行われている措置について、引き続き透明性を保って情報提供を行うとのことです。

Penpieチームはユーザーの忍耐と理解に深く感謝し、資産の安全とプラットフォームの整合性を最優先事項として、盗まれた資金の回収に全力を尽くすことを改めて表明しています。

情報ソース：Penpie Blog