Exploit da Purrlend Rouba $1,5M na HyperEVM e MegaETH

A Purrlend perdeu $1,5M numa exploração de DeFi ligada a uma atualização suspeita da carteira de administrador. Veja o que aconteceu na HyperEVM e na MegaETH.

A Purrlend, um protocolo de empréstimo construído na HyperEVM e na MegaETH, sofreu uma exploração grave. 

Os atacantes drenaram aproximadamente $1,5 milhões em ambas as redes. 

A falha remonta a uma transação suspeita de multisig de administrador. Esta concedeu privilégios de bridge não autorizados horas antes do ataque. 

O protocolo suspendeu entretanto todas as operações e iniciou uma investigação.

Como a atualização da carteira de administrador da Purrlend desencadeou a exploração

De acordo com os relatórios, uma transação chave ocorreu à 01:20 UTC. 

O multisig de administrador atualizou os limites de empréstimo e atribuiu funções a um endereço desconhecido.

Esse endereço recebeu posteriormente privilégios de bridge, o que permitiu a criação de tokens sem respaldo. Em suma, foram cunhados tokens sem qualquer garantia real por trás deles.

Este tipo de acesso é extremamente sensível nos sistemas de empréstimo em DeFi. Concedê-lo a um endereço não verificado abriu a porta para a extração massiva de fundos.

A comunidade sinalizou rapidamente a atividade da carteira como suspeita. As questões sobre quem autorizou a transação continuam sem resposta.

A Purrlend confirmou na sua conta oficial que detetou atividade irregular. 

A equipa declarou que o protocolo foi suspenso e que seriam fornecidas atualizações adicionais. Ainda não foi divulgada nenhuma análise técnica adicional.

Discriminação dos fundos roubados na HyperEVM e na MegaETH

O analista on-chain kirbycrypto detalhou os ativos roubados. 

A HyperEVM sofreu o maior impacto, com perdas totais de $1.197.488. Isso incluiu 449.683 USDC, 214.125 USDT0 e 194.745 USDH. Outros ativos roubados incluíram wstHYPE, UBTC, UETH, kHYPE e WHYPE.

A MegaETH registou perdas de $324.549. Os atacantes retiraram dessa cadeia 163.169 USDT0, 36,8 WETH e 75.745 USDm. 

No total, o valor atingiu aproximadamente $1,52 milhões. O kirbycrypto publicou a discriminação completa no X, citando dados de transações ao nível da carteira.

Os ativos visados eram principalmente stablecoins e tokens wrapped. Estes são tipicamente alvos de alta liquidez nas explorações de DeFi.

A facilidade com que se movem entre cadeias tornou-os atrativos para o atacante.

Leia também:

Reação da comunidade e o difícil abril do DeFi continua

Os membros da comunidade responderam com frustração nas plataformas sociais. 

Vários utilizadores apontaram para sinais de alerta anteriores. Uma preocupação levantada foi a intensa promoção do protocolo mesmo antes do evento de token da MegaETH.

Outros classificaram-no como um possível trabalho interno, embora nenhuma prova tenha confirmado essa alegação.

Até ao momento, não foram recuperados quaisquer fundos. A equipa da Purrlend não partilhou publicamente nenhum plano de recuperação. A investigação continua em curso no momento da elaboração deste relatório.

Este incidente acrescenta-se a um período difícil para o setor DeFi. Só em abril foram registadas perdas superiores a $600 milhões resultantes de vários ataques e explorações. 

A Purrlend junta-se a uma lista crescente de protocolos afetados por falhas de segurança este mês. O padrão levantou preocupações mais amplas sobre o controlo de acesso nas estruturas de governação DeFi.

The post Purrlend Exploit Steals $1.5M on HyperEVM and MegaETH appeared first on Live Bitcoin News.