作者:0xLouisT 来源:X,@0xLouisT 翻译:善欧巴,金色财经
概述
9月3日,基于 Pendle 构建的收益优化器和流动性锁仓平台 Penpie 遭到攻击,损失约 2700 万美元。此次事件暴露了 DeFi 平台中的关键漏洞,并强调了智能合约中强大安全措施的重要性。
漏洞详情
攻击者通过在 Pendle 上创建虚假市场和伪造的 SY 代币对 Penpie 进行了攻击。尽管这些操作对 Pendle 本身没有直接影响,但 Penpie 未能预防此类对抗性场景,从而使攻击者能够进行重入攻击。这次攻击导致了总计 2700 万美元的资产被盗,包括:
rswETH
wstETH
agETH
sUSDe
被盗资产随后通过 LiFi DEX 路由器转换为 ETH。攻击者将 ETH 转入多个地址,最终将 95%以上的被盗资金存入 Tornado Cash,使得资金的追踪和追回变得极为困难。Pendle 团队迅速响应,暂停了所有合约,有效阻止了可能对 Penpie 用户造成的额外 1.05 亿美元损失。这一迅速行动展示了快速事件响应在降低攻击损害中的重要性。
此次攻击对被盗代币市场造成了不同程度的影响:
对 Peg 的影响较小: 攻击者在 Uniswap V3 和 Curve 上出售被盗资产,对 wstETH 和 sUSDe 的挂钩影响较小。
rswETH 和 agETH 去挂钩: rswETH 在 PancakeSwap 上出现轻微去挂钩,而 agETH 在 Balancer 上则出现显著去挂钩,表明攻击可能会干扰流动性和代币稳定性。
此外,Penpie 的原生代币 PNP 大幅下跌 40%,反映了投资者对项目信心的丧失。相比之下,PENDLE 代币在 ETH 计价中未受影响,因为 Pendle 协议本身并未直接受到此次攻击的影响。
评估对手风险: 投资者需要严格评估智能合约相关风险。将 LP 代币存入另一个智能合约会增加显著的风险层级,且这些额外风险通常无法通过潜在收益来抵消。
智能合约安全的重要性: Penpie 漏洞显示出协议在设计时应预防虚假市场和伪造代币等对抗性场景。智能合约必须设置安全检查机制,以防止类似攻击的发生。
Pendle 团队的快速响应: Pendle 团队迅速暂停合约,防止了更大损失。他们的开发运维、警报和响应机制表现出色,尤其是在攻击发生于新加坡时间深夜的情况下更显不易。
对社区和投资者的影响: 此次漏洞提醒我们,智能合约的安全漏洞可能带来的不仅是经济损失,更包括信任的丧失和社区的冲击。我们对受此次漏洞影响的人表示关切。
Penpie 漏洞事件再次提醒我们,DeFi 领域中固有的风险以及强大安全实践的重要性。虽然 Pendle 协议本身未受影响,但事件突显了持续警惕、全面风险评估和及时响应的重要性,以保护 DeFi 生态系统的安全。
来源:金色财经