By:九九@慢霧安全團(tuán)隊(duì)

背景

根據(jù)慢霧安全團(tuán)隊(duì)情報(bào)，2024年9月4日，Decentralization流動(dòng)性收益項(xiàng)目 Penpie遭攻擊，攻擊者獲利近3千萬(wàn)美元。慢霧安全團(tuán)隊(duì)對(duì)該事件展開(kāi)分析并將結(jié)果分享如下：

正式攻擊

交易哈希：0x42b2ec27c732100dd9037c76da415e10329ea41598de453bb0c0c9ea7ce0d8e5

1.攻擊者先通過(guò)閃電貸借出大量agETH和rswETHTokens。

總結(jié)

此次安全事件暴露了Penpie在市場(chǎng)注冊(cè)環(huán)節(jié)存在校驗(yàn)不足的問(wèn)題，過(guò)度依賴PendleFinance的市場(chǎng)創(chuàng)建邏輯，導(dǎo)致攻擊者能夠通過(guò)惡意合約控制獎(jiǎng)勵(lì)分配機(jī)制，從而獲得超額獎(jiǎng)勵(lì)。慢霧安全團(tuán)隊(duì)建議項(xiàng)目方在注冊(cè)市場(chǎng)時(shí)，增加嚴(yán)格的白名單驗(yàn)證機(jī)制，確保只有經(jīng)過(guò)驗(yàn)證的市場(chǎng)才能被接受。此外，對(duì)于涉及外部合約調(diào)用的關(guān)鍵業(yè)務(wù)邏輯，應(yīng)當(dāng)加強(qiáng)審計(jì)與安全測(cè)試，避免再次發(fā)生類似事件。