penpie被黑分析:被黑原因 攻擊步驟分析!根據(jù)慢霧安全團隊情報,2024 年 9 月 4 日,去中心化流動性收益項目penpie 遭攻擊,攻擊者獲利近 3 千萬美元。慢霧安全團隊對該事件展開分析并將結(jié)果分享。為什么penpie被黑?penpie被黑原因 攻擊步驟分析,希望大家喜歡!
前置知識
Pendle Finance 是一種去中心化金融收益交易協(xié)議,總鎖定價值超過 45 億美元。該協(xié)議成功地與 Magpie 整合,旨在優(yōu)化收益機會并增強其 veTokenomics 模型。在此基礎(chǔ)上,Penpie 項目引入了流動性挖礦功能,使 Pendle Finance 的市場能夠?qū)崿F(xiàn)被動收益。
在 Pendle Finance 中包含以下幾個重要概念:
- PT (Principal Token):代表未來某個時間點的本金。持有 PT 代表握有本金的擁有權(quán)、并于到期后可兌換領(lǐng)回。例如你擁有一張 1 年后到期的 1 枚 PT-stETH 期權(quán),那么在 1 年后你將能兌換價值 1 ETH 的 stETH。
- YT (Yield Token):代表未來的收益。持有 YT 代表你擁有底層資產(chǎn)產(chǎn)生的所有實時收益,并且可以隨時在 Pendle 上手動領(lǐng)取所累積的收益。如果你擁有 1 個 YT-stETH,而 stETH 的平均收益率為 5%,那么在一年結(jié)束時,你將累積 0.05 個stETH。
- SY (Simple Yield):用于包裝任何生息代幣的合約。其提供了標(biāo)準(zhǔn)化的接口,可以與任何生息代幣的收益生成機制進行交互。
- LPT (Liquidity Provider Token):代表一個流動性市場,作為提供底層資產(chǎn)流動性的憑證。
- PRT (Pool Reward Token):代表 Penpie 池子中用戶存入 LPT 代幣的存款憑證。
根本原因
此次事件的核心在于 Penpie 在注冊新的 Pendle 市場時,錯誤地假設(shè)所有由 Pendle Finance 創(chuàng)建的市場都是合法的。然而,Pendle Finance 的市場創(chuàng)建流程是開放式的,允許任何人創(chuàng)建市場,并且其中的關(guān)鍵參數(shù)如 SY 合約地址,可以由用戶自定義。利用這一點,攻擊者創(chuàng)建了一個含有惡意 SY 合約的市場合約,并利用 Penpie 池子在獲取獎勵時需要對外部 SY 合約調(diào)用的機制,借助閃電貸為市場和池子添加了大量的流動性,人為放大了獎勵數(shù)額,從而獲利。
攻擊步驟分析
攻擊前置準(zhǔn)備
交易哈希:0x7e7f9548f301d3dd863eac94e6190cb742ab6aa9d7730549ff743bf84cbd21d1
1. 首先,攻擊者通過 PendleYieldContractFactory 合約的 createYieldContract 函數(shù)創(chuàng)建 PT 和 YT 收益合約,將 SY 設(shè)置為攻擊合約地址,并以此調(diào)用 PendleMarketFactoryV3 合約的 createNewMarket 函數(shù)創(chuàng)建了對應(yīng)的市場合約 0x5b6c_PENDLE-LPT。
2. 接著,攻擊者使用 PendleMarketRegisterHelper 合約的 registerPenpiePool 注冊 Penpie 池子,此過程中會創(chuàng)建存款憑證 PRT 代幣合約及相關(guān)的 rewarder 合約,并在 Penpie 中登記池子信息。
3. 隨后,攻擊者調(diào)用 YT 合約的 mintPY 函數(shù),鑄造大量 YT 和 PT,數(shù)量取決于攻擊合約(SY 合約)返回的匯率。
4. 緊跟著,攻擊者將 PT 存入市場 0x5b6c_PENDLE-LPT 并鑄造 LP 代幣。
5. 最后,攻擊者將 LP 代幣存入 Penpie 池子,換取存款憑證 PRT 代幣。
正式攻擊
交易哈希:0x42b2ec27c732100dd9037c76da415e10329ea41598de453bb0c0c9ea7ce0d8e5
1. 攻擊者先通過閃電貸借出大量 agETH 和 rswETH 代幣。
2. 調(diào)用 Penpie 池子的 batchHarvestMarketRewards 函數(shù),批量收集指定市場的獎勵,此操作觸發(fā)了市場合約 0x5b6c_PENDLE-LPT 的 redeemRewards 函數(shù)。
3. 在 redeemRewards 函數(shù)中,外部調(diào)用了 SY 合約(攻擊合約)的 claimRewards 函數(shù),期間攻擊者使用閃電貸資金為獎勵代幣增加流動性(攻擊合約中特意將獎勵代幣設(shè)置為兩種市場代幣 0x6010_PENDLE-LPT 和 0x038c_PENDLE-LPT),并將獲得的市場代幣存入 Penpie 池子,從而獲得相應(yīng)的存款憑證代幣。
4. 接著,這些新存入 Penpie 池子的市場代幣會被當(dāng)作計算出來的獎勵,隨后通過 Rewarder 合約的 queueNewRewards 函數(shù)將這些代幣轉(zhuǎn)移至該合約。
由于 0x5b6c_PENDLE-LPT 市場中僅攻擊者一人存款,因此可以立即調(diào)用 MasterPenpie 合約的 multiclaim 函數(shù),提取Rewarder 合約中的這部分 LPT 代幣。
5. 最后,攻擊者通過 PendleMarketDepositHelper 合約的 withdrawMarket 函數(shù)燃燒在第三步獲取的存款憑證 PRT,贖回市場代幣,并將這些市場代幣連同上一步中提取的獎勵一同移除流動性,最終獲取基礎(chǔ)資產(chǎn)代幣(agETH 和 rswETH),實現(xiàn)獲利。
總結(jié)
此次安全事件暴露了 Penpie 在市場注冊環(huán)節(jié)存在校驗不足的問題,過度依賴 Pendle Finance 的市場創(chuàng)建邏輯,導(dǎo)致攻擊者能夠通過惡意合約控制獎勵分配機制,從而獲得超額獎勵。慢霧安全團隊建議項目方在注冊市場時,增加嚴(yán)格的白名單驗證機制,確保只有經(jīng)過驗證的市場才能被接受。此外,對于涉及外部合約調(diào)用的關(guān)鍵業(yè)務(wù)邏輯,應(yīng)當(dāng)加強審計與安全測試,避免再次發(fā)生類似事件。
以上就是Penpie被黑分析:被黑原因 攻擊步驟分析的詳細內(nèi)容,更多請關(guān)注本站其它相關(guān)文章!
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請第一時間聯(lián)系我們修改或刪除,多謝。
