El 3 de septiembre de 2024, Penpie — un optimizador de rendimiento construido encima de Pendle Finance — fue explotado por aproximadamente $27 millones a través de una clásica brecha de reentrada en su integración con Pendle.
Qué ocurrió
El contrato PendleMarket de Pendle permite a integradores externos registrar sus propios "plugins" de recompensas de mercado. El plugin de Penpie llamaba a Pendle para emitir recompensas en nombre de los usuarios — y durante esa llamada, el flujo de control podía ser reingresado por el atacante antes de que se actualizara la contabilidad del plugin.
El atacante registró un mercado Pendle malicioso que él controlaba, luego activó una reclamación de recompensa. Durante el callback, reingresó en el plugin y reclamó las mismas recompensas repetidamente contra el mismo estado contable. El exploit drenó saldos de activos a la par en múltiples pools de Pendle con los que Penpie estaba integrado.
Consecuencias
- Penpie pausó la integración con Pendle y anunció un plan de compensación para los depositantes afectados utilizando los ingresos del protocolo.
- Pendle en sí no fue comprometido directamente, pero añadió restricciones más estrictas de callback en plugins de recompensa de terceros como medida de defensa en profundidad.
- Los fondos no fueron recuperados.
Por qué importa
La clase de bug de reentrada tiene más de una década, pero las arquitecturas de plugin/hook siguen recreando las condiciones para ella — cada vez que un protocolo llama a código de integrador a mitad de transición de estado, reaparece el mismo riesgo. Penpie fue un recordatorio de que la regla no es "audita tus contratos"; es "trata cada llamada externa como un punto potencial de reentrada hasta que checks-effects-interactions pueda demostrar lo contrario".
Fuentes y evidencia on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/year-in-review-the-biggest-defi-hacks-of-2024
- [02]medium.comhttps://medium.com/coinmonks/top-5-crypto-hacks-of-2024-more-than-2-billion-lost-36crypto-559a481eff9c