By:九九@慢霧安全團隊

背景

根據慢霧安全團隊情報，2024年9月4日，Decentralization流動性收益項目 Penpie遭攻擊，攻擊者獲利近3千萬美元。慢霧安全團隊對該事件展開分析并將結果分享如下：

正式攻擊

交易哈希：0x42b2ec27c732100dd9037c76da415e10329ea41598de453bb0c0c9ea7ce0d8e5

1.攻擊者先通過閃電貸借出大量agETH和rswETHTokens。

總結

此次安全事件暴露了Penpie在市場注冊環節存在校驗不足的問題，過度依賴PendleFinance的市場創建邏輯，導致攻擊者能夠通過惡意合約控制獎勵分配機制，從而獲得超額獎勵。慢霧安全團隊建議項目方在注冊市場時，增加嚴格的白名單驗證機制，確保只有經過驗證的市場才能被接受。此外，對于涉及外部合約調用的關鍵業務邏輯，應當加強審計與安全測試，避免再次發生類似事件。