资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Penpie协议遭遇2700万美元攻击事件
事件概述
9月3日,Yield协议Penpie因其智能合约漏洞被恶意攻击者利用,导致2700万美元损失。Penpie是基于Pendle的收益协议,旨在提升用户在网络中的奖励收益。
攻击手法分析
区块链安全公司Hacken在9月4日的分析报告中指出,攻击者通过创建一个包含虚假代币的资金池实施盗窃。攻击者制造了Pendle收益代币(Standardized Yield, SY)的无价值版本,并将其与有价值的资产绑定。
攻击者部署了五个恶意合约来伪装成合法的流动性池,以此欺骗Penpie的奖励系统,但实际只使用了其中三个。随后,攻击者利用伪造的SY代币作为凭证来获取真实收益。
攻击过程
攻击发生在UTC时间18:25至18:42之间,共执行了三笔交易。第一笔交易提取了最高金额,盗取1570万美元,随后两笔交易分别从Penpie合约中提取了560万美元。
攻击者最终获得了695枚Restaked Swell ETH(rswETH)、4101枚Kelp Gain(agETH)、2723枚Wrapped Staked ETH(wstETH)以及252万枚Staked Ethena USD(sUSDe)。
漏洞原理
攻击之所以得逞,是因为Penpie合约存在重入漏洞。重入漏洞发生在合约在更新自身状态之前需要向另一个智能合约进行外部调用时。这使得恶意合约可以通过改变信息和输入操作来欺骗协议。
损失控制
值得注意的是,潜在损失可能更大。Pendle在UTC时间18:45(即第三笔攻击发生三分钟后)识别出恶意交易并暂停了合约。Hacken强调:"这一举措至关重要,因为攻击者在一分钟后部署了第四个恶意合约。暂停Pendle合约有效地阻止了攻击,避免了进一步损失。"
资产去向
所有被盗代币被转换为以太坊(ETH),总计约10113 ETH。根据链上数据,攻击者将3000 ETH转移至混币服务Tornado Cash,目前仍持有7113.27 ETH。
后续处理
Penpie团队通过链上消息和X平台联系了攻击者,承认遭受攻击,并表示愿意就被盗资金进行赏金谈判。此外,团队承诺不会采取法律行动。
