據 Beosin Alert 監測顯示,建立在 Pendle 上的 DeFi 協議 Penpie 遭到黑客攻擊,被盜取約 2700 萬美元的加密資產,Beosin 對本次事件簡析如下: 攻擊者利用 market 合約中 claimRewards 函數重入質押以提高 staking 合約余額,再將 taking 合約多余的代幣和質押資產提取以獲利 1、攻擊者首先創建攻擊合約,并通過官方的 factory 構建的對應的 market 合約; 2、調用 staking 合約的 batchHarvestMarketRewards 函數對該 market 進行獎勵更新; 3、更新獎勵時會回調攻擊合約 claimRewards 函數,由此函數進行重入將閃電貸獲取的資產進行質押,使得 staking 合約的資產形成數量差,并將多余的提取出來; 4、攻擊者將質押的資產提取,并歸還閃電貸進行獲利。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。
