偏信則暗 —— Penpie 被黑分析
By:九九@慢霧安全團(tuán)隊(duì)
背景
根據(jù)慢霧安全團(tuán)隊(duì)情報,2024年9月4日,Decentralization流動性收益項(xiàng)目 Penpie遭攻擊,攻擊者獲利近3千萬美元。慢霧安全團(tuán)隊(duì)對該事件展開分析并將結(jié)果分享如下:
交易哈希:0x42b2ec27c732100dd9037c76da415e10329ea41598de453bb0c0c9ea7ce0d8e5
1.攻擊者先通過閃電貸借出大量agETH和rswETHTokens。
此次安全事件暴露了Penpie在市場注冊環(huán)節(jié)存在校驗(yàn)不足的問題,過度依賴PendleFinance的市場創(chuàng)建邏輯,導(dǎo)致攻擊者能夠通過惡意合約控制獎勵分配機(jī)制,從而獲得超額獎勵。慢霧安全團(tuán)隊(duì)建議項(xiàng)目方在注冊市場時,增加嚴(yán)格的白名單驗(yàn)證機(jī)制,確保只有經(jīng)過驗(yàn)證的市場才能被接受。此外,對于涉及外部合約調(diào)用的關(guān)鍵業(yè)務(wù)邏輯,應(yīng)當(dāng)加強(qiáng)審計與安全測試,避免再次發(fā)生類似事件。