Penpie - Rekt
加密世界永不停歇,黑客亦是如此。
在最新一集的《谁想成为百万富翁:DeFi 版》中,Penpie发现自己遭受了 2700 万美元的损失。
9 月 3 日,一个建立在 Pendle Finance 生态系统之上的挖矿协议,付出了昂贵的代价,暴露了复杂金融集成的风险。
随着漏洞攻击消息的传开,PNP 代币暴跌 40%,而 PENDLE 代币 也未能幸免,跌幅达 9%。
这是另一个温馨提示,在高风险的挖矿游戏中,有时你收获的只有悔恨。
当这场高风险 DeFi 舞会的音乐停止时,哪些投资者将一无所获?
图片来源:Chaofan Shou、Cyvers、Pendle、Penpie、PeckShield、Ancilia
第一个危险信号来自 Chaofan Shou 在 Twitter 上的警报:“看来 Penpie 被黑客入侵,损失了 1700 万美元。”
区块链侦探迅速行动,20 分钟内,Cyvers 确认损失已扩大到 2700 万美元。
Pendle Finance 迅速向用户保证他们的资金是安全的,但仍暂停了所有合约操作以进一步减少损失。
Penpie 也跟进,承认“安全漏洞”,并冻结了所有存款和取款。
在代码即法律的世界里,有人找到了利用漏洞的方式。
但在这个数字法庭里,谁才是真正的主宰?
PeckShield 的区块链安全团队称,根本原因是“恶意市场的引入,夸大了质押余额以获取不应得的奖励”。
简单翻译:攻击者创建了一个假的 Pendle 市场,欺骗 Penpie 的合约,以为它们在处理真实交易。
*Ancilia 提供了更多信息,指出漏洞出现在 Penpie 的 batchHarvestMarketRewards() 函数中。
攻击者发起了重入攻击,创建了虚假的 Pendle 市场,欺骗 Penpie 的合约。
当 _harvestBatchMarketRewards() 函数调用 redeemRewards() 时,黑客的合约插入并执行了欺诈操作,结果是经典的“双重收割”,虚增质押余额并窃取了不当得利。
漏洞交易: 0x56e09abb35ff12271fdb38ff8a23e4d4a7396844426a94c4d3af2e8b7a0a2813
漏洞利用地址:
0x7a2f4d625fb21f5e51562ce8dc2e722e12a61d1b
0xc0Eb7e6E2b94aA43BDD0c60E645fe915d5c6eb84
假 Pendle 市场:
0x0ab305033592E16dB7D8e77d613F8d172a76ddc9
攻击合约:
Arbitrum: 0x4BC9815b859c8172CEe1ab2CD372fD0Eb00eb487
Ethereum: 0x4aF4C234B8CB6e060797e87AFB724cfb1d320Bb7
尽管经过 WatchPug 和 Zokyo 的审计,这一漏洞仍然未能被及时发现。
Penpie 已在推特上向黑客发帖,希望能追回被盗资金。
Pendle 在 Twitter 上代表 Penpie 发布了一份事后报告,提到未被盗的 1.05 亿美元,但对已被盗的部分和漏洞细节却只字未提。
这再次提醒我们,即使是在去信任化的系统中,我们仍需极大信任协议的安全审查。
攻击者凭借巧妙的代码和一丝大胆,成功绕过了多层安全防护。
在这场数字猫捉老鼠的游戏中,我们是在建造堡垒,还是在设计更复杂的迷宫?
Penpie 的不幸事件再次提醒我们,在 DeFi 的狂野西部,即便是最锋利的工具也可能变钝。
这是一个古老的故事(至少和智能合约一样古老),在追求创新的过程中,安全有时会被忽视。
随着 DeFi 领域的飞速发展,显然需要更严格的安全措施和审计流程。
但在一个“快速行动、打破常规”成为运作模式的世界里,我们真的能指望这些协议放慢脚步吗?
要求协议对每次升级进行审计,是否过于苛刻?
在这次事件中,答案似乎是肯定的。
Penpie 现在已加入了不断增长的受漏洞攻击的协议名单,成为了数字狂野西部的又一牺牲品。
DeFi 协议是时候优先考虑安全而非速度,彻底审计每次升级并加强防御,还是继续与用户资金赌博,让自己暴露在无情的黑客攻击之下?
REKT作为匿名作者的公共平台,我们对REKT上托管的观点或内容不承担任何责任。
捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
声明:
REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任,无论是由我们网站的匿名作者,还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则,我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责,也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。
您可能也喜欢...
BingX - Rekt
在这个日渐熟悉的剧情转折中,又一家中心化交易所发现其热钱包被盗。BingX 付出了惨痛的代价,明白了热钱包管理的风险以及面对老练黑客组织时的脆弱性。
DeltaPrime - Rekt
又是新的一天,又有私钥被泄露。Arbitrum 上的 DeltaPrime Blue 因私钥泄露而损失了 598 万美元。关于某国家级黑客组织的传言已在加密圈流传。
捕鲸人的丰收
当网络钓鱼的目标是巨鲸时,有时候你会钓到大鱼。一位加密货币巨鲸在一次针对其 Maker 保险库的精心设计的网络钓鱼攻击中损失了 5547 万美元。