Theo tin tức của ChainCatcher, theo giám sát của Beosin Alert, Penpie, một giao thức DeFi được xây dựng trên Pendle, đã bị tin tặc tấn công và khoảng 27 triệu USD tài sản tiền điện tử đã bị đánh cắp. Phân tích ngắn gọn của Beosin về vụ việc này như sau:

Kẻ tấn công sử dụng chức năng ClaimRewards trong hợp đồng thị trường để nhập lại cam kết tăng số dư của hợp đồng đặt cược, sau đó rút số token dư thừa và tài sản cầm cố của hợp đồng lấy tiền để kiếm lợi nhuận

1. Trước tiên, kẻ tấn công tạo hợp đồng tấn công và xây dựng hợp đồng thị trường tương ứng thông qua nhà máy chính thức.
2. Gọi hàm batchHarvestMarketRewards của hợp đồng đặt cược để cập nhật phần thưởng thị trường.
3. Khi phần thưởng được cập nhật, chức năng ClaimRewards của hợp đồng tấn công sẽ được gọi lại. Chức năng này sẽ nhập lại và cầm cố tài sản thu được từ khoản vay nhanh, gây ra sự khác biệt về số lượng trong tài sản của hợp đồng đặt cược và trích xuất số tiền đó. thặng dư.
4. Kẻ tấn công rút tài sản cầm cố và trả lại khoản vay nhanh để kiếm lợi nhuận