Penpie 被攻击事件分析：有何反思？lg...

作者：0xLouisT 来源：X，@0xLouisT 翻译：善欧巴，金色财经

概述

9月3日，基于 Pendle 构建的收益优化器和流动性锁仓平台 Penpie 遭到攻击，损失约 2700 万美元。此次事件暴露了 DeFi 平台中的关键漏洞，并强调了智能合约中强大安全措施的重要性。

漏洞详情

攻击者通过在 Pendle 上创建虚假市场和伪造的 SY 代币对 Penpie 进行了攻击。尽管这些操作对 Pendle 本身没有直接影响，但 Penpie 未能预防此类对抗性场景，从而使攻击者能够进行重入攻击。这次攻击导致了总计 2700 万美元的资产被盗，包括：

• rswETH

• wstETH

• agETH

• sUSDe

被盗资产随后通过 LiFi DEX 路由器转换为 ETH。攻击者将 ETH 转入多个地址，最终将 95%以上的被盗资金存入 Tornado Cash，使得资金的追踪和追回变得极为困难。Pendle 团队迅速响应，暂停了所有合约，有效阻止了可能对 Penpie 用户造成的额外 1.05 亿美元损失。这一迅速行动展示了快速事件响应在降低攻击损害中的重要性。

市场影响

此次攻击对被盗代币市场造成了不同程度的影响：

• 对 Peg 的影响较小： 攻击者在 Uniswap V3 和 Curve 上出售被盗资产，对 wstETH 和 sUSDe 的挂钩影响较小。

• rswETH 和 agETH 去挂钩： rswETH 在 PancakeSwap 上出现轻微去挂钩，而 agETH 在 Balancer 上则出现显著去挂钩，表明攻击可能会干扰流动性和代币稳定性。

此外，Penpie 的原生代币 PNP 大幅下跌 40%，反映了投资者对项目信心的丧失。相比之下，PENDLE 代币在 ETH 计价中未受影响，因为 Pendle 协议本身并未直接受到此次攻击的影响。

关键见解与教训

1. 评估对手风险： 投资者需要严格评估智能合约相关风险。将 LP 代币存入另一个智能合约会增加显著的风险层级，且这些额外风险通常无法通过潜在收益来抵消。

2. 智能合约安全的重要性： Penpie 漏洞显示出协议在设计时应预防虚假市场和伪造代币等对抗性场景。智能合约必须设置安全检查机制，以防止类似攻击的发生。

3. Pendle 团队的快速响应： Pendle 团队迅速暂停合约，防止了更大损失。他们的开发运维、警报和响应机制表现出色，尤其是在攻击发生于新加坡时间深夜的情况下更显不易。

4. 对社区和投资者的影响： 此次漏洞提醒我们，智能合约的安全漏洞可能带来的不仅是经济损失，更包括信任的丧失和社区的冲击。我们对受此次漏洞影响的人表示关切。

结论

Penpie 漏洞事件再次提醒我们，DeFi 领域中固有的风险以及强大安全实践的重要性。虽然 Pendle 协议本身未受影响，但事件突显了持续警惕、全面风险评估和及时响应的重要性，以保护 DeFi 生态系统的安全。

来源：金色财经