اکسپلویت Purrlend 1.5 میلیون دلار از HyperEVM و MegaETH به سرقت برد

Purrlend در یک اکسپلویت DeFi مرتبط با به‌روزرسانی مشکوک کیف پول ادمین، ۱.۵ میلیون دلار از دست داد. ببینید چه اتفاقی در HyperEVM و MegaETH افتاد.

Purrlend، یک پروتکل وام‌دهی ساخته‌شده روی HyperEVM و MegaETH، مورد یک اکسپلویت بزرگ قرار گرفت. 

مهاجمان تقریباً ۱.۵ میلیون دلار را از هر دو شبکه تخلیه کردند. 

این نقض به یک تراکنش مشکوک multisig ادمین بازمی‌گردد که ساعت‌ها قبل از حمله، امتیازات بریج غیرمجاز اعطا کرد. 

از آن زمان پروتکل تمام عملیات را متوقف کرده و تحقیقات را آغاز کرده است.

چگونه به‌روزرسانی کیف پول ادمین Purrlend باعث اکسپلویت شد

طبق گزارش‌ها، یک تراکنش کلیدی در ساعت ۰۱:۲۰ UTC رخ داد. 

multisig ادمین سقف‌های استقراض را به‌روز کرد و نقش‌هایی به یک آدرس ناشناس اختصاص داد.

آن آدرس بعداً امتیازات بریج دریافت کرد که مینت کردن توکن بدون پشتوانه را ممکن ساخت. به عبارت ساده، توکن‌ها بدون هیچ وثیقه واقعی مینت شدند.

این نوع دسترسی در سیستم‌های وام‌دهی DeFi بسیار حساس است. اعطای آن به یک آدرس تأییدنشده، درِ استخراج انبوه وجوه را گشود.

جامعه به سرعت فعالیت کیف پول را مشکوک اعلام کرد. سؤالات درباره اینکه چه کسی تراکنش را مجاز دانسته هنوز بی‌پاسخ مانده است.

Purrlend در حساب رسمی خود تأیید کرد که فعالیت غیرعادی شناسایی کرده است. 

تیم اعلام کرد پروتکل متوقف شده و به‌روزرسانی‌های بیشتری منتشر خواهد شد. هنوز هیچ تحلیل فنی اضافی منتشر نشده است.

جزئیات وجوه سرقت‌شده در HyperEVM و MegaETH

تحلیلگر آن‌چین kirbycrypto دارایی‌های سرقت‌شده را به تفصیل تشریح کرد. 

HyperEVM ضربه بزرگ‌تری خورد و در مجموع ۱,۱۹۷,۴۸۸ دلار از دست داد. این شامل ۴۴۹,۶۸۳ USDC، ۲۱۴,۱۲۵ USDT0 و ۱۹۴,۷۴۵ USDH بود. سایر دارایی‌های سرقت‌شده شامل wstHYPE، UBTC، UETH، kHYPE و WHYPE بودند.

MegaETH زیان‌هایی به میزان ۳۲۴,۵۴۹ دلار ثبت کرد. مهاجمان ۱۶۳,۱۶۹ USDT0، ۳۶.۸ WETH و ۷۵,۷۴۵ USDm از آن زنجیره بردند. 

در مجموع، کل مبلغ به تقریباً ۱.۵۲ میلیون دلار رسید. Kirbycrypto جزئیات کامل را در X منتشر کرد و به داده‌های تراکنش در سطح کیف پول استناد کرد.

دارایی‌های هدف عمدتاً استیبل‌کوین‌ها و توکن‌های wrapped بودند. اینها معمولاً اهداف با نقدینگی بالا در اکسپلویت‌های DeFi هستند.

سهولت جابجایی آن‌ها در میان زنجیره‌ها آن‌ها را برای مهاجم جذاب کرد.

همچنین بخوانید:

واکنش جامعه و ادامه آوریل سخت DeFi

اعضای جامعه در پلتفرم‌های اجتماعی با ناامیدی واکنش نشان دادند. 

چندین کاربر به نشانه‌های هشداردهنده قبلی اشاره کردند. یکی از نگرانی‌های مطرح‌شده، تبلیغ گسترده پروتکل درست قبل از رویداد توکن MegaETH بود.

برخی دیگر آن را یک کار داخلی احتمالی نامیدند، اگرچه هیچ مدرکی این ادعا را تأیید نکرده است.

تاکنون هیچ وجهی بازیابی نشده است. تیم Purrlend هیچ برنامه بازیابی را به‌صورت عمومی به اشتراک نگذاشته است. تحقیقات تا زمان تهیه این گزارش همچنان در جریان است.

این حادثه به دوران سختی برای بخش DeFi می‌افزاید. تنها در ماه آوریل، بیش از ۶۰۰ میلیون دلار زیان از حملات و اکسپلویت‌های مختلف ثبت شده است. 

Purrlend به فهرست رو به رشد پروتکل‌هایی می‌پیوندد که این ماه در نقض‌های امنیتی گرفتار شده‌اند. این الگو نگرانی‌های گسترده‌تری درباره کنترل دسترسی در ساختارهای حاکمیتی DeFi ایجاد کرده است.

این مطلب برای اولین بار در Live Bitcoin News منتشر شد.