Beosin：DeFi 协议 Penpie 遭到攻击损失约 2700 万美元资产攻击事件分析

ChainCatcher 消息，据 Beosin Alert 监测显示，建立在 Pendle 上的 DeFi 协议 Penpie 遭到黑客攻击，被盗取约 2700 万美元的加密资产，Beosin对本次事件简析如下：

攻击者利用 market 合约中 claimRewards 函数重入质押以提高 staking 合约余额，再将 taking 合约多余的代币和质押资产提取以获利

1、攻击者首先创建攻击合约，并通过官方的 factory 构建的对应的 market 合约
2、调用 staking 合约的 batchHarvestMarketRewards 函数对该 market 进行奖励更新
3、更新奖励时会回调攻击合约 claimRewards 函数，由此函数进行重入将闪电贷获取的资产进行质押，使得 staking 合约的资产形成数量差，并将多余的提取出来
4、攻击者将质押的资产提取，并归还闪电贷进行获利