Beosin:Penpie 遭到攻击损失约2700 万美元资产攻击事件分析
据Beosin Alert监测显示,建立在 Pendle 上的 DeFi 协议 Penpie 遭到黑客攻击,被盗取约 2700 万美元的加密资产,Beosin对本次事件简析如下:
攻击者利用market合约中claimRewards函数重入质押以提高staking合约余额,再将taking合约多余的代币和质押资产提取以获利
1、攻击者首先创建攻击合约,并通过官方的factory构建的对应的market合约
2、调用staking合约的batchHarvestMarketRewards函数对该market进行奖励更新
3、更新奖励时会回调攻击合约claimRewards函数,由此函数进行重入将闪电贷获取的资产进行质押,使得staking合约的资产形成数量差,并将多余的提取出来
4、攻击者将质押的资产提取,并归还闪电贷进行获利