作者: 西柚, chaincatcher
编辑: Marco , ChainCatcher
9月5日,基于收益代币化协议Pendle构建的收益产品Penpie,在发布的最新安全事件报告中写道:本次黑客攻击使其损失了价值超2700万美元的ETH。
根据DeFiLlama显示,Penpie平台上锁仓的加密资产(TVL)约为9000万美元,黑客盗取了平台上约三分之一的资产。
虽然Penpie协议在加密领域并不出名,但背后涉及的DeFi协议却对加密行业影响巨大。首先是底层的收益代币化协议Pendle掌握约25亿美元的LST、LRT、稳定币等生息资产;另外,作为Magpie创建的subDAO产品之一,Magpie生态系统内锁仓的加密资产价值已超过13亿美元。
Penpie被盗2700万美元,Pendle代币当日跌幅超10%
9月4日早间,基于Pendle构建的收益产品Penpie被爆出,因合约漏洞正在遭遇黑客攻击,损失的资产价值超2700万美元。
消息爆出后,Penpie平台代币PNP下跌超35%,现在0.9美元左右震荡。
随后,Penpie官方发文回复,已暂停所有存、取款操作,团队正在处理该问题,还对黑客发出了公开信,愿意与黑客共同协商被盗的资金归还问题。
在9月5日最新的安全报告中,Penpie表示,一名黑客利用其平台的安全漏洞,通过操纵一个虚假的Pendle市场,从Arbitrum和以太坊网络中窃取了价值超过2700美元的ETH资产(具体为11113.6枚)。
此次攻击受影响最大的是将资产存放在Penpie上的多个LST资产协议用户,主要包括Kelp DAO的agETH、Swell的rswETH、Lido的stETH、Ethena的sUSDe及Gains的gUSDC。
Penpie是基于收益代币化协议Pendle构建的DeFi收益增强治理协议,主要通过提供veToken服务,帮助用户简化Pendle代币PENDLE的质押、锁仓,以增强Pendle代币持有者的收益。
众所周知,Pendle通过将如LST、LRT等生息资产拆分为本金代币(PT)和收益代币(YT)的形式,供用户交易。
Penpie与Pendle的之间关系类似于“Convex与Curve的关系”,Pendle原生代币持有用户可以通过Penpie质押其代币PENDLE获得mPENDLE,持有mPENDLE代币不但可以获得Pendle协议的奖励,可以获得Penpie原生代币PNP的又一层奖励。
简而言之,Penpie让Pendle的veToken模型中的质押、锁仓、投票、加速等过程给抽离出来,单独成为一个代替用户去操作的产品,即用户将PENDLE转换为mPENDLE时,Penpie会自动将转换后的PENDLE锁定为Pendle Finance中的vePENDLE,且还可以多获得Penpie原生代币PNP的奖励。
根据Dune数据显示,通过Penpie质押的vePENDLE数量约为1274万枚(价值约3800万美元),在vePENDLE中占比近38%,是vePENDLE持有量最高的协议。
不过,本次安全事件并没有对Pendle的资产产生太多影响,黑客本次主要攻击的是:Penpie平台上的无需可资金池中的资产。
今年5月,Penpie平台新增了推出了无需许可的资产池功能,即允许Pendle上的用户可以在该平台上自建任何PT或YT代币的LP资金池如Swell的rswETH LP,然后用户在Penpie平台上存入LP就可以额外多获得一份PNP代币奖励,实现一鱼多吃。
本次的安全攻击就是黑客通过利用Penpie平台的漏洞,在其平台上构建了一个虚假的Pendle资金池实现了资金的转移。
安全事件爆出后,Pendle先是表示,已迅速暂停相关的合约,有效地保护了大约1.05亿美元。很快又发文宣布,Pendle所有合约操作已经恢复,交易现在已可正常进行。安全漏洞仅限于Penpie平台,Pendle上的资产未受影响且安全。
另外,Pendle上的另一个收益增强协议Equilibria发文表示,平台资产安全,其合约代码(与Penpie)不同,在Equilibria上添加Pendle市场池需要核心团队的批准权限,并且奖励发放有7天等待期。
不过,在Penpie被攻击当天,Pendle代币PENDLE跌幅超10%,现报价2.79美元。
Penpie被盗对Magpie系产品的影响有哪些?
Penpie作为由Magpie创建的代表产品之一,此次安全事件对Magpie生态系统的影响更令加密社区用户关心,如今Magpie生态系的产品已渗透多个DeFi协议中,一旦集中出现安全,影响范围将是巨大的。
Magpie是一个多链DeFi管理平台,被中文社区喜称为“喜鹊”,主要为采用veToken经济模型的DeFi协议用户提供增强收益服务等,目前还专注于提供再质押LST/LRT服务。
与常见的跨链DEX等DeFi产品不同,Magpie平台通过SubDAO(子DAO)的模式创建、扩展及管理生态内的多个DeFi协议,每个SubDAO独立运行、负责单独的协议,并会发行自己的治理代币,然后每个子DAO发行治理代币的15-20%份额会上交给Magpie金库中。
目前,Magpie生态系统已经有10个subDAO,主要可分为两大类:
一类是专为DeFi协议的veToken提供增强服务,如基于收益代币化写于一Pendle的Penpie、DEX平台PancakeSwap的Cakepie、DEX平台Wombat Exchange的Wompie、多链借贷Radiant的Radpie;
另一类是基于再质押LST或LRT的服务,如基于再质押协议的Lista DAO的Listapie、EigenLayer的Eigenpie、Babylon的Babypie、Symbiotic的Sympie。
加密KOL@CM曾发文表示,Magpie生态系统的产品已经入场了Pendle war、Cake war、Restaking war,以及将到来的Babylon war,通过subDAO已经掌握了很多主流DeFi协议的治理资源,堪称是“加密界劳模”。
截至9月5日,Magpie已在多个协议中积累了超过13亿美元的TVL。
Penpie作为Magpie生态系统的DeFi收益增强产品,突发的安全事件必然会使其生态用户谨慎。
在被爆出安全后不久,Penpie就第一时间表示,已经找到了根本原因,并且 Magpie 生态系统中的所有其他协议仍然安全且不受影响。
Magpie官方也第一时间在X平台发文表示,经过多方确认后,Magpie生态系统内的所有其他协议均不受影响且安全。
不过依旧有社区用户表示,新推出的基于Babylon的BTC再质押产品Babypie,最近正在推进融资、准备IDO,或会因此事受影响。
ChainCatcher就Penpie本次安全事件向Babypie团队询问对其的影响。
官方社区人员表示,每个SubDAO都是独立运行的,其他子DAO中的所有资金都是安全的(其他子DAO中不存在类似漏洞),并将重新检查、测试和审计我们所有的子DAO合同。
