Beosin：DeFi 프로토콜 Penpie가 공격을 받아 약 2700만 달러 자산 손실 사건 분석

ChainCatcher 메시지에 따르면, Beosin Alert 모니터링 결과 Pendle에 구축된 DeFi 프로토콜 Penpie가 해킹당해 약 2700만 달러의 암호 자산이 도난당했습니다. Beosin은 이번 사건에 대해 다음과 같이 간략히 분석했습니다:

공격자는 market 계약의 claimRewards 함수의 재진입을 이용하여 staking 계약 잔액을 증가시키고, 이후 taking 계약의 여분의 토큰과 스테이킹 자산을 인출하여 이익을 얻었습니다.

1. 공격자는 먼저 공격 계약을 생성하고, 공식 factory를 통해 해당 market 계약을 구축합니다.
2. staking 계약의 batchHarvestMarketRewards 함수를 호출하여 해당 market의 보상을 업데이트합니다.
3. 보상을 업데이트할 때 공격 계약의 claimRewards 함수가 콜백되어, 이 함수가 재진입하여 플래시 론으로 얻은 자산을 스테이킹하게 되어 staking 계약의 자산 수량 차이가 발생하고, 여분의 자산을 인출합니다.
4. 공격자는 스테이킹한 자산을 인출하고 플래시 론을 상환하여 이익을 얻습니다.