偏信则暗 —— Penpie 被黑分析
By:九九@慢雾安全团队
背景
根据慢雾安全团队情报,2024年9月4日,Decentralization流动性收益项目 Penpie遭攻击,攻击者获利近3千万美元。慢雾安全团队对该事件展开分析并将结果分享如下:
交易哈希:0x42b2ec27c732100dd9037c76da415e10329ea41598de453bb0c0c9ea7ce0d8e5
1.攻击者先通过闪电贷借出大量agETH和rswETHTokens。
此次安全事件暴露了Penpie在市场注册环节存在校验不足的问题,过度依赖PendleFinance的市场创建逻辑,导致攻击者能够通过恶意合约控制奖励分配机制,从而获得超额奖励。慢雾安全团队建议项目方在注册市场时,增加严格的白名单验证机制,确保只有经过验证的市场才能被接受。此外,对于涉及外部合约调用的关键业务逻辑,应当加强审计与安全测试,避免再次发生类似事件。