Podle zpráv ChainCatcher, podle monitorování Beosin Alert, Penpie, protokol DeFi postavený na Pendle, byl hacknut a bylo ukradeno přibližně 27 milionů USD v kryptografických aktivech. Stručná analýza tohoto incidentu Beosin je následující:
Útočník použije funkci claimRewards v tržní smlouvě k opětovnému zadání zástavy, aby zvýšil zůstatek sázkové smlouvy, a poté stáhne přebytečné tokeny a zastavená aktiva smlouvy o převzetí, aby dosáhl zisku.
1. Útočník nejprve vytvoří smlouvu o útoku a vytvoří odpovídající tržní smlouvu prostřednictvím oficiální továrny.
2. Zavolejte funkci batchHarvestMarketRewards smlouvy o stakingu a aktualizujte tržní odměny.
3. Když je odměna aktualizována, funkce claimRewards smlouvy o útoku bude odvolána. Tato funkce znovu vstoupí a zastaví aktiva získaná bleskovou půjčkou, což způsobí kvantitativní rozdíl v aktivech stakingové smlouvy a vyjme aktiva. přebytek.
4. Útočník stáhne zastavená aktiva a vrátí flash půjčku, aby dosáhl zisku