作者:西柚, ChainCatcher
編輯:Marco , ChainCatcher
封面:Photo by Moritz Erken on Unsplash
9 月 5 日,基於收益代幣化協議 Pendle 構建的收益產品 Penpie,在發佈的最新安全事件報告中寫道:本次黑客攻擊使其損失了價值超 2700 萬美元的 ETH。
根據 DeFiLlama 顯示,Penpie 平臺上鎖倉的加密資產(TVL)約為 9000 萬美元,黑客盜取了平臺上約三分之一的資產。
雖然 Penpie 協議在加密領域並不出名,但背後涉及的 DeFi 協議卻對加密行業影響巨大。首先是底層的收益代幣化協議 Pendle 掌握約 25 億美元的 LST、LRT、穩定幣等生息資產;另外,作為 Magpie 創建的 subDAO 產品之一,Magpie 生態系統內鎖倉的加密資產價值已超過 13 億美元。
Penpie被盜 2700 萬美元,Pendle 代幣當日跌幅超 10%
9 月 4 日早間,基於 Pendle 構建的收益產品 Penpie 被爆出,因合約漏洞正在遭遇黑客攻擊,損失的資產價值超 2700 萬美元。
消息爆出後,Penpie 平臺代幣 PNP 下跌超 35%,現在 0.9 美元左右震盪。
隨後,Penpie 官方發文回覆,已暫停所有存、取款操作,團隊正在處理該問題,還對黑客發出了公開信,願意與黑客共同協商被盜的資金歸還問題。
在 9 月 5 日最新的安全報告中,Penpie 表示,一名黑客利用其平臺的安全漏洞,通過操縱一個虛假的 Pendle 市場,從 Arbitrum 和以太坊網絡中竊取了價值超過 2700 美元的 ETH 資產 (具體為 11113.6 枚)。
此次攻擊受影響最大的是將資產存放在 Penpie 上的多個 LST 資產協議用戶,主要包括 Kelp DAO 的 agETH、Swell 的 rswETH、Lido 的 stETH、Ethena 的 sUSDe 及 Gains 的 gUSDC。
Penpie 是基於收益代幣化協議 Pendle 構建的 DeFi 收益增強治理協議,主要通過提供 veToken 服務,幫助用戶簡化 Pendle 代幣 PENDLE 的質押、鎖倉,以增強 Pendle 代幣持有者的收益。
眾所周知,Pendle 通過將如 LST、LRT 等生息資產拆分為本金代幣(PT)和收益代幣(YT)的形式,供用戶交易。
Penpie 與 Pendle 的之間關係類似於 “Convex 與 Curve 的關係”,Pendle 原生代幣持有用戶可以通過 Penpie 質押其代幣 PENDLE 獲得 mPENDLE,持有 mPENDLE 代幣不但可以獲得 Pendle 協議的獎勵,可以獲得 Penpie 原生代幣 PNP 的又一層獎勵。
簡而言之,Penpie 讓 Pendle 的 veToken 模型中的質押、鎖倉、投票、加速等過程給抽離出來,單獨成為一個代替用戶去操作的產品,即用戶將 PENDLE 轉換為 mPENDLE 時,Penpie 會自動將轉換後的 PENDLE 鎖定為 Pendle Finance 中的 vePENDLE,且還可以多獲得 Penpie 原生代幣 PNP 的獎勵。
根據 Dune 數據顯示,通過 Penpie 質押的 vePENDLE 數量約為 1274 萬枚(價值約 3800 萬美元),在 vePENDLE 中佔比近 38%,是 vePENDLE 持有量最高的協議。
不過,本次安全事件並沒有對 Pendle 的資產產生太多影響,黑客本次主要攻擊的是:Penpie 平臺上的無需可資金池中的資產。
今年 5 月,Penpie 平臺新增了推出了無需許可的資產池功能,即允許 Pendle 上的用戶可以在該平臺上自建任何 PT 或 YT 代幣的 LP 資金池如 Swell 的 rswETH LP,然後用戶在 Penpie 平臺上存入 LP 就可以額外多獲得一份 PNP 代幣獎勵,實現一魚多吃。
本次的安全攻擊就是黑客通過利用 Penpie 平臺的漏洞,在其平臺上構建了一個虛假的 Pendle 資金池實現了資金的轉移。
安全事件爆出後,Pendle 先是表示,已迅速暫停相關的合約,有效地保護了大約 1.05 億美元。很快又發文宣佈,Pendle 所有合約操作已經恢復,交易現在已可正常進行。安全漏洞僅限於 Penpie 平臺,Pendle 上的資產未受影響且安全。
另外,Pendle 上的另一個收益增強協議 Equilibria 發文表示,平臺資產安全,其合約代碼(與 Penpie)不同,在 Equilibria 上添加 Pendle 市場池需要核心團隊的批准權限,並且獎勵發放有 7 天等待期。
不過,在 Penpie 被攻擊當天,Pendle 代幣 PENDLE 跌幅超 10%,現報價 2.79 美元。
Penpie被盜對 Magpie 系產品的影響有哪些?
Penpie 作為由 Magpie 創建的代表產品之一,此次安全事件對 Magpie 生態系統的影響更令加密社區用戶關心,如今 Magpie 生態系的產品已滲透多個 DeFi 協議中,一旦集中出現安全,影響範圍將是巨大的。
Magpie 是一個多鏈 DeFi 管理平臺,被中文社區喜稱為 “喜鵲”,主要為採用 veToken 經濟模型的 DeFi 協議用戶提供增強收益服務等,目前還專注於提供再質押 LST/LRT 服務。
與常見的跨鏈 DEX 等 DeFi 產品不同,Magpie 平臺通過 SubDAO(子 DAO)的模式創建、擴展及管理生態內的多個 DeFi 協議,每個 SubDAO 獨立運行、負責單獨的協議,並會發行自己的治理代幣,然後每個子 DAO 發行治理代幣的 15-20% 份額會上交給 Magpie 金庫中。
目前,Magpie 生態系統已經有 10 個 subDAO,主要可分為兩大類:
一類是專為 DeFi 協議的 veToken 提供增強服務,如基於收益代幣化寫於一 Pendle 的 Penpie、DEX 平臺 PancakeSwap 的 Cakepie、DEX 平臺 Wombat Exchange 的 Wompie、多鏈借貸 Radiant 的 Radpie;
另一類是基於再質押 LST 或 LRT 的服務,如基於再質押協議的 Lista DAO 的 Listapie、EigenLayer 的 Eigenpie、Babylon 的 Babypie、Symbiotic 的 Sympie。
加密 KOL@CM 曾發文表示,Magpie 生態系統的產品已經入場了 Pendle war、Cake war、Restaking war,以及將到來的 Babylon war,通過 subDAO 已經掌握了很多主流 DeFi 協議的治理資源,堪稱是 “加密界勞模”。
截至 9 月 5 日,Magpie 已在多個協議中積累了超過 13 億美元的 TVL。
Penpie 作為 Magpie 生態系統的 DeFi 收益增強產品,突發的安全事件必然會使其生態用戶謹慎。
在被爆出安全後不久,Penpie 就第一時間表示,已經找到了根本原因,並且 Magpie 生態系統中的所有其他協議仍然安全且不受影響。
Magpie 官方也第一時間在 X 平臺發文表示,經過多方確認後,Magpie 生態系統內的所有其他協議均不受影響且安全。
不過依舊有社區用戶表示,新推出的基於 Babylon 的 BTC 再質押產品 Babypie,最近正在推進融資、準備 IDO,或會因此事受影響。
ChainCatcher 就 Penpie 本次安全事件向 Babypie 團隊詢問對其的影響。
官方社區人員表示,每個 SubDAO 都是獨立運行的,其他子 DAO 中的所有資金都是安全的(其他子 DAO 中不存在類似漏洞),並將重新檢查、測試和審計我們所有的子 DAO 合同。
免責聲明:作為區塊鏈信息平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。文章內的信息僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
歡迎加入 Web3Caff 官方社群:X(Twitter)賬號丨微信讀者群丨微信公眾號丨Telegram訂閱群丨Telegram交流群
