Réentrance Pendle de Penpie

Le 3 septembre 2024, Penpie — un optimiseur de rendement construit sur Pendle Finance — a été exploité pour environ 27 millions de dollars via une faille de réentrance classique dans son intégration Pendle.

Ce qui s'est passé

Le contrat PendleMarket de Pendle permet aux intégrateurs externes d'enregistrer leurs propres « plugins » de récompense de marché. Le plugin de Penpie appelait Pendle pour émettre des récompenses au nom des utilisateurs — et pendant cet appel, le flux de contrôle pouvait être réintroduit par l'attaquant avant que la comptabilité du plugin ne soit mise à jour.

L'attaquant a enregistré un marché Pendle malveillant qu'il contrôlait, puis a déclenché une réclamation de récompense. Pendant le callback, il a réintroduit le plugin et réclamé les mêmes récompenses à plusieurs reprises contre le même état comptable. L'exploit a drainé les soldes d'actifs peggés sur plusieurs pools Pendle avec lesquels Penpie était intégré.

Conséquences

• Penpie a mis en pause l'intégration avec Pendle et annoncé un plan de compensation pour les déposants affectés utilisant les revenus du protocole.
• Pendle lui-même n'a pas été directement compromis, mais a ajouté des restrictions de callback plus strictes sur les plugins de récompense tiers comme mesure de défense en profondeur.
• Les fonds n'ont pas été récupérés.

Pourquoi c'est important

La classe de bug de réentrance a plus d'une décennie, mais les architectures plugin/hook continuent de recréer les conditions pour elle — chaque fois qu'un protocole appelle du code d'intégrateur en plein milieu de transition d'état, le même risque réapparaît. Penpie était un rappel que la règle n'est pas « auditez vos contrats » ; c'est « traitez chaque appel externe comme un point de réentrée potentiel jusqu'à ce que checks-effects-interactions puisse prouver le contraire ».