Am 3. September 2024 wurde Penpie — ein Yield-Optimierer auf Pendle Finance — um etwa 27 Millionen $ durch eine klassische Reentrancy-Lücke in seiner Pendle-Integration ausgenutzt.
Was geschah
Pendles PendleMarket-Vertrag erlaubt externen Integratoren, eigene Markt-Belohnungs-"Plugins" zu registrieren. Penpies Plugin rief Pendle auf, um Belohnungen im Namen von Nutzern auszustellen — und während dieses Aufrufs konnte der Kontrollfluss vom Angreifer wieder eingegeben werden, bevor die Buchhaltung des Plugins aktualisiert war.
Der Angreifer registrierte einen bösartigen Pendle-Markt, den er kontrollierte, und löste dann einen Belohnungsanspruch aus. Während des Callbacks trat er wieder in das Plugin ein und beanspruchte dieselben Belohnungen wiederholt gegen denselben Buchhaltungszustand. Der Exploit leerte Pegged-Asset-Salden über mehrere Pendle-Pools, mit denen Penpie integriert war.
Folgen
- Penpie pausierte die Integration mit Pendle und kündigte einen Kompensationsplan für betroffene Einleger unter Verwendung von Protokolleinnahmen an.
- Pendle selbst wurde nicht direkt kompromittiert, fügte aber strengere Callback-Beschränkungen für Drittanbieter-Belohnungs-Plugins als Verteidigung-in-Tiefe-Maßnahme hinzu.
- Mittel wurden nicht zurückgewonnen.
Warum es wichtig ist
Die Reentrancy-Bug-Klasse ist über ein Jahrzehnt alt, aber Plugin-/Hook-Architekturen schaffen immer wieder die Bedingungen dafür — jedes Mal, wenn ein Protokoll Integrator-Code mitten im Zustandsübergang aufruft, taucht dasselbe Risiko erneut auf. Penpie war eine Erinnerung daran, dass die Regel nicht "auditiere deine Verträge" lautet; sondern "behandle jeden externen Aufruf als potenziellen Wiedereintrittspunkt, bis Checks-Effects-Interactions das Gegenteil beweisen können".
Quellen & On-Chain-Belege
- [01]halborn.comhttps://www.halborn.com/blog/post/year-in-review-the-biggest-defi-hacks-of-2024
- [02]medium.comhttps://medium.com/coinmonks/top-5-crypto-hacks-of-2024-more-than-2-billion-lost-36crypto-559a481eff9c