Penpie 被盜超 2700 萬美元，Magpie 13 億美元生態系統是否會被波及？

作者： 西柚， ChainCatcher

編輯： Marco ， ChainCatcher

9月5日，基於收益代幣化協議Pendle構建的收益產品Penpie，在發布的最新安全事件報告中寫道：本次黑客攻擊使其損失了價值超2700萬美元的ETH。

根據DeFiLlama顯示，Penpie平台上鎖倉的加密資產（TVL）約為9000萬美元，黑客盜取了平台上約三分之一的資產。

雖然Penpie協議在加密領域並不出名，但背後涉及的DeFi協議卻對加密行業影響巨大。首先是底層的收益代幣化協議Pendle掌握約25億美元的LST、LRT、穩定幣等生息資產；另外，作為Magpie創建的subDAO產品之一，Magpie生態系統內鎖倉的加密資產價值已超過13億美元。

Penpie 被盜2700萬美元，Pendle代幣當日跌幅超10%

9月4日早間，基於Pendle構建的收益產品Penpie被爆出，因合約漏洞正在遭遇黑客攻擊，損失的資產價值超2700萬美元。

消息爆出後，Penpie平台代幣PNP下跌超35%，現在0.9美元左右震蕩。

隨後，Penpie官方發文回覆，已暫停所有存、取款操作，團隊正在處理該問題，還對黑客發出了公開信，願意與黑客共同協商被盜的資金歸還問題。

在9月5日最新的安全報告中，Penpie表示，一名黑客利用其平台的安全漏洞，通過操縱一個虛假的Pendle市場，從Arbitrum和以太坊網絡中竊取了價值超過2700美元的ETH資產（具體為11113.6枚）。

此次攻擊受影響最大的是將資產存放在Penpie上的多個LST資產協議用戶，主要包括Kelp DAO的agETH、Swell的rswETH、Lido的stETH、Ethena的sUSDe及Gains的gUSDC。

Penpie是基於收益代幣化協議Pendle構建的DeFi收益增強治理協議，主要通過提供veToken服務，幫助用戶簡化Pendle代幣PENDLE的質押、鎖倉，以增強Pendle代幣持有者的收益。

眾所周知，Pendle通過將如LST、LRT等生息資產拆分為本金代幣（PT）和收益代幣（YT）的形式，供用戶交易。

Penpie與Pendle的之間關係類似於"Convex與Curve的關係"，Pendle原生代幣持有用戶可以通過Penpie質押其代幣PENDLE獲得mPENDLE，持有mPENDLE代幣不但可以獲得Pendle協議的獎勵，還可以獲得Penpie原生代幣PNP的又一層獎勵。

簡而言之，Penpie讓Pendle的veToken模型中的質押、鎖倉、投票、加速等過程給抽離出來，單獨成為一個代替用戶去操作的產品，即用戶將PENDLE轉換為mPENDLE時，Penpie會自動將轉換後的PENDLE鎖定為Pendle Finance中的vePENDLE，且還可以多獲得Penpie原生代幣PNP的獎勵。

根據Dune數據顯示，通過Penpie質押的vePENDLE數量約為1274萬枚（價值約3800萬美元），在vePENDLE中佔比近38%，是vePENDLE持有量最高的協議。

不過，本次安全事件並沒有對Pendle的資產產生太多影響，黑客本次主要攻擊的是：Penpie平台上的無需可資金池中的資產。

今年5月，Penpie平台新增了推出了無需許可的資產池功能，即允許Pendle上的用戶可以在該平台上自建任何PT或YT代幣的LP資金池如Swell的rswETH LP，然後用戶在Penpie平台上存入LP就可以額外多獲得一份PNP代幣獎勵，實現一魚多吃。

本次的安全攻擊就是黑客通過利用Penpie平台的漏洞，在其平台上構建了一個虛假的Pendle資金池實現了資金的轉移。

安全事件爆出後，Pendle先是表示，已迅速暫停相關的合約，有效地保護了約1.05億美元。很快又發文宣布，Pendle所有合約操作已經恢復，交易現在已可正常進行。安全漏洞僅限於Penpie平台，Pendle上的資產未受影響且安全。

另外，Pendle上的另一個收益增強協議Equilibria發文表示，平台資產安全，其合約代碼（與Penpie）不同，在Equilibria上添加Pendle市場池需要核心團隊的批准權限，並且獎勵發放有7天等待期。

不過，在Penpie被攻擊當天，Pendle代幣PENDLE跌幅超10%，現報價2.79美元。

Penpie 被盜對Magpie系產品的影響有哪些？

Penpie作為由Magpie創建的代表產品之一，此次安全事件對Magpie生態系統的影響更令加密社區用戶關心，如今Magpie生態系的產品已滲透多個DeFi協議中，一旦集中出現安全，影響範圍將是巨大的。

Magpie是一個多鏈DeFi管理平台，被中文社區喜稱為"喜鵲"，主要為採用veToken經濟模型的DeFi協議用戶提供增強收益服務等，目前還專注於提供再質押LST/LRT服務。

與常見的跨鏈DEX等DeFi產品不同，Magpie平台通過SubDAO（子DAO）的模式創建、擴展及管理生態內的多個DeFi協議，每個SubDAO獨立運行、負責單獨的協議，並會發行自己的治理代幣，然後每個子DAO發行治理代幣的15-20%份額會上交給Magpie金庫中。

目前，Magpie生態系統已經有10個subDAO，主要可分為兩大類：

一類是專為DeFi協議的veToken提供增強服務，如基於收益代幣化寫於一Pendle的Penpie、DEX平台PancakeSwap的Cakepie、DEX平台Wombat Exchange的Wompie、多鏈借貸Radiant的Radpie；

另一類是基於再質押LST或LRT的服務，如基於再質押協議的Lista DAO的Listapie、EigenLayer的Eigenpie、Babylon的Babypie、Symbiotic的Sympie。

加密KOL@CM曾發文表示，Magpie生態系統的產品已經入場了Pendle war、Cake war、Restaking war，以及將到來的Babylon war，通過subDAO已經掌握了很多主流DeFi協議的治理資源，堪稱是"加密界勞模"。

截至9月5日，Magpie已在多個協議中積累了超過13億美元的TVL。

Penpie作為Magpie生態系統的DeFi收益增強產品，突發的安全事件必然會使其生態用戶謹慎。

在被爆出安全後不久，Penpie就第一時間表示，已經找到了根本原因，並且 Magpie 生態系統中的所有其他協議仍然安全且不受影響。

Magpie官方也第一時間在X平台發文表示，經過多方確認後，Magpie生態系統內的所有其他協議均不受影響且安全。

不過依舊有社區用戶表示，新推出的基於Babylon的BTC再質押產品Babypie，最近正在推進融資、準備IDO，或會因此事受影響。

ChainCatcher就Penpie本次安全事件向Babypie團隊詢問對其的影響。

官方社區人員表示，每個SubDAO都是獨立運行的，其他子DAO中的所有資金都是安全的（其他子DAO中不存在類似漏洞），並將重新檢查、測試和審計我們所有的子DAO合同。