Протокол кредитования Purrlend, работающий на платформах HyperEVM и MegaETH, подвергся крупной атаке. Злоумышленники вывели около $1,5 млн с обеих сетей. Инцидент связан с подозрительной транзакцией в мультиподписном кошельке администрации, которая предоставила несанкционированные мостовые привилегии за несколько часов до взлома.
Ключевая транзакция произошла в 01:20 UTC. Административный мультиподписной кошелек изменил лимиты заимствования и назначил роли неизвестному адресу. Позже этот адрес получил мостовые привилегии, что позволило выпускать незаблокированные токены — фактически средства были созданы без реального обеспечения. Такие разрешения крайне чувствительны в DeFi-системах, и их выдача непроверенному адресу открыла путь к массовому выводу средств. Сообщество оперативно заметило подозрительную активность. Вопросы о том, кто авторизовал транзакцию, остаются без ответа.
Purrlend подтвердила, что обнаружила нестандартную активность, приостановила протокол и пообещала предоставить обновления. Подробностей технического анализа пока нет.
Согласно исследованию ончейн-аналитика kirbycrypto, крупнейшие потери ($1 197 488) пришлись на HyperEVM. Среди украденных активов: 449 683 USDC, 214 125 USDT0, 194 745 USDH, а также wstHYPE, UBTC, UETH, kHYPE и WHYPE. На MegaETH похищено $324 549, включая 163 169 USDT0, 36,8 WETH и 75 745 USDm. Общий ущерб составил около $1,52 млн. Аналитик обнародовал полный расклад на X, ссылаясь на данные транзакций на кошельках.
Похищенные активы в основном представляют собой стейблкоины и обернутые токены — цели с высокой ликвидностью в DeFi-эксплойтах из-за простоты перемещения между сетями.
Реакция сообщества была негативной. Многие участники указали на потенциальные предупредительные сигналы до атаки, включая активную рекламу протокола перед токенизацией MegaETH. Некоторые подозревают инсайдерскую атаку, однако доказательств этому нет. Средства пока не возвращены. Команда Purrlend не опубликовала план восстановления. Расследование продолжается.
Этот инцидент добавляет к длинному списку апрельских потерь DeFi-сектора, превысивших $600 млн, и вызывает обеспокоенность по поводу контроля доступа в системах управления DeFi.
