Згідно з новинами ChainCatcher, відповідно до моніторингу Beosin Alert, Penpie, протокол DeFi, побудований на Pendle, був атакований хакерами, і було викрадено приблизно 27 мільйонів доларів США у вигляді криптовалют. Короткий аналіз цього інциденту Beosin виглядає наступним чином:
Зловмисник використовує функцію claimRewards у ринковому контракті, щоб повторно ввести заставу, щоб збільшити баланс контракту на ставку, а потім вилучає надлишкові токени та заставлені активи контракту на тейкінг, щоб отримати прибуток
1. Зловмисник спочатку створює контракт на атаку та будує відповідний ринковий контракт через офіційну фабрику.
2. Викличте функцію batchHarvestMarketRewards контракту про ставки, щоб оновити ринкові винагороди.
3. Коли винагорода оновлюється, функція claimRewards контракту атаки буде знову викликана. Ця функція повторно введе та заставить активи, отримані за допомогою флеш-позики, спричиняючи кількісну різницю в активах контракту на ставку та вилучаючи. надлишок.
4. Зловмисник вилучає заставні активи та повертає флеш-кредит, щоб отримати прибуток