Beosin：DeFi 協議 Penpie 遭到攻擊損失約 2700 萬美元資產攻擊事件分析

ChainCatcher 消息，据 Beosin Alert 監測顯示，建立在 Pendle 上的 DeFi 協議 Penpie 遭到黑客攻擊，被盜取約 2700 萬美元的加密資產，Beosin 對本次事件簡析如下：

攻擊者利用 market 合約中 claimRewards 函數重入質押以提高 staking 合約餘額，再將 taking 合約多餘的代幣和質押資產提取以獲利

1、攻擊者首先創建攻擊合約，並通過官方的 factory 構建的對應的 market 合約
2、調用 staking 合約的 batchHarvestMarketRewards 函數對該 market 進行獎勵更新
3、更新獎勵時會回調攻擊合約 claimRewards 函數，由此函數進行重入將閃電貸獲取的資產進行質押，使得 staking 合約的資產形成數量差，並將多餘的提取出來
4、攻擊者將質押的資產提取，並歸還閃電貸進行獲利