2024年9月3日，基于Pendle构建的收益优化器和流动性锁仓平台Penpie遭遇攻击，造成约2700万美元损失。此次事件揭示了DeFi平台中的重要漏洞，并强调了智能合约中实施强大安全措施的必要性。

漏洞详情

攻击者通过在Pendle上创建虚假市场和伪造的SY代币对Penpie实施了攻击。尽管这些操作并未直接影响Pendle，但Penpie未能有效防范此类对抗性攻击，导致攻击者能够实施重入攻击。这次攻击导致了总计2700万美元的资产被盗，包括：

• rswETH
• wstETH
• agETH
• sUSDe

被盗资产随后通过LiFi DEX路由器转换为ETH。攻击者将ETH转移到多个地址，最终将95%以上的被盗资金存入Tornado Cash，使资金的追踪和追回变得极为困难。Pendle团队迅速暂停了所有合约，成功避免了对Penpie用户可能造成的额外1.05亿美元损失。这一迅速的反应展示了在减少攻击损害中的重要性。

市场影响

此次攻击对被盗代币市场造成了不同程度的影响：

• 对Peg的影响较小：攻击者在Uniswap V3和Curve上出售被盗资产，对wstETH和sUSDe的挂钩影响较小。
• rswETH和agETH去挂钩：rswETH在PancakeSwap上出现轻微去挂钩，而agETH在Balancer上显著去挂钩，表明攻击可能干扰了流动性和代币稳定性。

此外，Penpie的原生代币PNP大幅下跌40%，反映了投资者对项目的信心下降。相比之下，PENDLE代币在ETH计价中未受影响，因为Pendle协议本身未直接受到此次攻击的影响。

关键见解与教训

• 评估对手风险：投资者需要严格评估智能合约相关的风险。将LP代币存入另一个智能合约会增加显著的风险层级，而这些额外风险通常无法通过潜在收益来弥补。
• 智能合约安全的重要性：Penpie漏洞显示出协议在设计时应预防虚假市场和伪造代币等对抗性场景。智能合约必须设置安全检查机制，以防止类似攻击的发生。
• Pendle团队的快速响应：Pendle团队迅速暂停合约，成功防止了更大损失。他们的开发运维、警报和响应机制表现出色，尤其是在攻击发生于新加坡时间深夜的情况下更为不易。
• 对社区和投资者的影响：此次漏洞不仅造成了经济损失，还引发了信任危机和社区冲击。我们对受此次漏洞影响的人表示关切。

结论

Penpie漏洞事件再次提醒我们，DeFi领域固有的风险以及实施强大安全实践的重要性。虽然Pendle协议本身未受影响，但事件突显了持续警惕、全面风险评估和及时响应的重要性，以保护DeFi生态系统的安全。