Laut ChainCatcher-Nachrichten wurde Penpie, ein auf Pendle basierendes DeFi-Protokoll, von Hackern angegriffen und etwa 27 Millionen US-Dollar an Krypto-Assets gestohlen. Beosins kurze Analyse dieses Vorfalls lautet wie folgt:
Der Angreifer nutzt die Funktion „claimRewards“ im Marktvertrag, um das Pfand erneut einzugeben, um den Saldo des Stake-Vertrags zu erhöhen, und hebt dann die überschüssigen Token und verpfändeten Vermögenswerte des Take-Vertrags ab, um einen Gewinn zu erzielen
1. Der Angreifer erstellt zunächst einen Angriffsvertrag und baut über die offizielle Fabrik den entsprechenden Marktvertrag auf.
2. Rufen Sie die Funktion „batchHarvestMarketRewards“ des Einsatzvertrags auf, um die Marktprämien zu aktualisieren.
3. Wenn die Belohnung aktualisiert wird, wird die ClaimRewards-Funktion des Angriffsvertrags zurückgerufen. Diese Funktion gibt die durch den Flash-Darlehen erhaltenen Vermögenswerte erneut ein und verpfändet sie, wodurch eine quantitative Differenz in den Vermögenswerten des Einsatzvertrags entsteht Überschuss.
4. Der Angreifer zieht die verpfändeten Vermögenswerte ab und gibt den Schnellkredit zurück, um einen Gewinn zu erzielen