Penpie 事件後報告
事件概述
- 日期: 2024年9月3日
- 事件: Penpie 平台被利用,導致 11,113.6 ETH(約 27,348,259 美元)被盜。
- 應對措施: 暫停存款與提款;前端恢復完成。
2024年9月3日晚上6時23分UTC,一名技術高超的攻擊者利用 Penpie 平台內的安全漏洞,控制用戶資金,並在 Arbitrum 和 Ethereum 網絡中損失超過 27,000,000 美元的資產。攻擊者操控假Pendle市場以最大化獎勵。
根本原因
根本原因是 PendleStakingBaseUpg::batchHarvestMarketRewards() 函數中的重入保護漏洞。通過在獎勵收穫過程中重新進入 PendleStakingBaseUpg::depositMarket() 函數,惡意 SY 合約不斷添加來自閃電貸款的新存款。這讓攻擊者可以操控獎勵代幣及其發送給假 Pendle 市場存款人的金額,即攻擊者本身。
Penpie 開放系統允許無許可地註冊新的 Pendle 市場觸發了這一欺詐活動,無許可註冊本身的設計是合理的,但使得攻擊者可以註冊假 Pendle 市場,並執行攻擊,從而發現了重入漏洞。
損失分析
受到影響的 Penpie 池:
時間線 (UTC)
2024年9月3日
下午 5:44 — 5:51 UTC
攻擊者部署惡意的 Pendle 市場合約,並在 Penpie 上存款以準備攻擊: - 交易1 - 交易2
下午 6:23–6:42 UTC
攻擊者暫停了其在 Ethereum 平台的操作。
應對與緩解
- Pendle Finance 合約快速暫停,保護了約 70$ 百萬(不包含 vePendle 後持倉可能進一步流失)
- Penpie 合約暫停,以防止任何額外的惡意池註冊和進一步對 Penpie 的攻擊。
- 持續追踪被盜資金和攻擊者的動態。
學習到的教訓
- 不僅僅是審核增量更改。
- 每季度對整個協議進行審核。
- 實時監控和自動暫停系統。
- 保持韌性,繼續前進。
下一步
- 安全審計: 全面審查所有協議和智能合約,以識別漏洞。
- 用戶溝通: 繼續向用戶透明提供當前情況,並採取措施保護他們的資金。
- 賠償: 我們將開始制定賠償計劃,並從社區收集建議和反饋。
故事與實例
故事1:某開發者發現類似漏洞
某資深區塊鏈開發者也曾在另一個平台發現類似的漏洞,並負責通知團隊且解決,避免了數百萬美元的損失。
故事2:市場反應與社區力量
在此事件後,許多 Penpie 用戶和開發者迅速反應,協力在社區中偵測和減少類似事件的可能性。
故事3:競爭平台的警示
競爭對手類似平台得知此事件後,立即着手檢查其系統的潛在漏洞,並避免重蹈覆轍,保住了用戶的信賴。
