Selon ChainCatcher News, selon la surveillance Beosin Alert, Penpie, un protocole DeFi construit sur Pendle, a été attaqué par des pirates informatiques et environ 27 millions de dollars d'actifs cryptographiques ont été volés. La brève analyse de Beosin sur cet incident est la suivante :

L'attaquant utilise la fonction ClaimRewards dans le contrat de marché pour saisir à nouveau le gage afin d'augmenter le solde du contrat de jalonnement, puis retire les jetons excédentaires et les actifs promis du contrat de prise pour réaliser un profit.

1. L'attaquant crée d'abord un contrat d'attaque et construit le contrat de marché correspondant via l'usine officielle.
2. Appelez la fonction batchHarvestMarketRewards du contrat de jalonnement pour mettre à jour les récompenses du marché.
3. Lorsque la récompense est mise à jour, la fonction ClaimRewards du contrat d'attaque sera rappelée. Cette fonction saisira à nouveau et mettra en gage les actifs obtenus par le prêt flash, provoquant une différence quantitative dans les actifs du contrat de jalonnement et en extrayant. excès.
4. L'attaquant retire les actifs promis et restitue le prêt flash pour réaliser un profit