据 Beosin Alert 监测显示,建立在 Pendle 上的 DeFi 协议 Penpie 遭到黑客攻击,被盗取约 2700 万美元的加密资产,Beosin 对本次事件简析如下: 攻击者利用 market 合约中 claimRewards 函数重入质押以提高 staking 合约余额,再将 taking 合约多余的代币和质押资产提取以获利 1、攻击者首先创建攻击合约,并通过官方的 factory 构建的对应的 market 合约; 2、调用 staking 合约的 batchHarvestMarketRewards 函数对该 market 进行奖励更新; 3、更新奖励时会回调攻击合约 claimRewards 函数,由此函数进行重入将闪电贷获取的资产进行质押,使得 staking 合约的资产形成数量差,并将多余的提取出来; 4、攻击者将质押的资产提取,并归还闪电贷进行获利。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
