Penpie被盗2700万，Magpie生态受影响？

9月5日，基于收益代币化协议Pendle构建的收益产品Penpie发布了最新的安全事件报告，报告中提到了一次黑客攻击，导致其损失了价值超过2700万美元的ETH。根据DeFiLlama的数据，Penpie平台上的锁仓资产（TVL）约为9000万美元，这次攻击盗走了平台上约三分之一的资产。虽然Penpie在加密领域并不算出名，但它背后的DeFi协议对整个行业的影响却不容小觑。Pendle作为底层协议，管理着约25亿美元的LST、LRT、稳定币等生息资产。而作为Magpie创建的subDAO产品之一，Magpie生态系统内的锁仓资产价值已超过13亿美元。

9月4日早间，Penpie因合约漏洞遭遇黑客攻击，损失的资产价值超过了2700万美元。消息传出后，Penpie平台的代币PNP下跌超过35%，目前在0.9美元左右波动。Penpie官方迅速回应，暂停了所有存取款操作，并表示团队正在处理该问题，同时向黑客发出了公开信，愿意与黑客协商被盗资金的归还问题。在9月5日的最新安全报告中，Penpie透露，一名黑客利用其平台的安全漏洞，通过操纵一个虚假的Pendle市场，从Arbitrum和以太坊网络中窃取了价值超过2700万美元的ETH资产（具体为11113.6枚）。此次攻击对将资产存放在Penpie上的多个LST资产协议用户影响最大，包括Kelp DAO的agETH、Swell的rswETH、Lido的stETH、Ethena的sUSDe及Gains的gUSDC。

Penpie是基于收益代币化协议Pendle构建的DeFi收益增强治理协议，主要通过提供veToken服务，帮助用户简化Pendle代币PENDLE的质押和锁仓，以增强Pendle代币持有者的收益。Pendle通过将如LST、LRT等生息资产拆分为本金代币（PT）和收益代币（YT），供用户交易。Penpie与Pendle的关系类似于“Convex与Curve的关系”，Pendle原生代币持有用户可以通过Penpie质押其代币PENDLE获得mPENDLE，持有mPENDLE代币不仅可以获得Pendle协议的奖励，还可以获得Penpie原生代币PNP的额外奖励。简而言之，Penpie让Pendle的veToken模型中的质押、锁仓、投票、加速等过程独立出来，成为一个替用户操作的产品，即用户将PENDLE转换为mPENDLE时，Penpie会自动将转换后的PENDLE锁定为Pendle Finance中的vePENDLE，且还可以多获得Penpie原生代币PNP的奖励。根据Dune数据显示，通过Penpie质押的vePENDLE数量约为1274万枚（价值约3800万美元），在vePENDLE中占比近38%，是vePENDLE持有量最高的协议。不过，本次安全事件并没有对Pendle的资产产生太多影响，黑客主要攻击的是Penpie平台上的无需许可资金池中的资产。今年5月，Penpie平台新增了无需许可的资产池功能，允许Pendle上的用户在该平台上自建任何PT或YT代币的LP资金池，如Swell的rswETH LP，用户在Penpie平台上存入LP就可以额外获得一份PNP代币奖励，实现一鱼多吃。本次的安全攻击就是黑客通过利用Penpie平台的漏洞，在其平台上构建了一个虚假的Pendle资金池实现了资金的转移。

安全事件爆出后，Pendle迅速暂停了相关的合约，有效地保护了大约1.05亿美元的资产。很快，Pendle又宣布所有合约操作已经恢复，交易现在已可正常进行。安全漏洞仅限于Penpie平台，Pendle上的资产未受影响且安全。Pendle上的另一个收益增强协议Equilibria也表示，平台资产安全，其合约代码与Penpie不同，在Equilibria上添加Pendle市场池需要核心团队的批准权限，并且奖励发放有7天等待期。不过，在Penpie被攻击当天，Pendle代币PENDLE跌幅超过了10%，现报价2.79美元。

Penpie作为由Magpie创建的代表产品之一，此次安全事件对Magpie生态系统的影响引起了加密社区的广泛关注。Magpie是一个多链DeFi管理平台，被中文社区称为“喜鹊”，主要为采用veToken经济模型的DeFi协议用户提供增强收益服务，目前还专注于提供再质押LST/LRT服务。与常见的跨链DEX等DeFi产品不同，Magpie平台通过SubDAO（子DAO）的模式创建、扩展及管理生态内的多个DeFi协议，每个SubDAO独立运行、负责单独的协议，并会发行自己的治理代币，然后每个子DAO发行治理代币的15-20%份额会上交给Magpie金库中。目前，Magpie生态系统已经有10个subDAO，主要可分为两大类：一类是专为DeFi协议的veToken提供增强服务，如基于收益代币化协议Pendle的Penpie、DEX平台PancakeSwap的Cakepie、DEX平台Wombat Exchange的Wompie、多链借贷Radiant的Radpie；另一类是基于再质押LST或LRT的服务，如基于再质押协议的Lista DAO的Listapie、EigenLayer的Eigenpie、Babylon的Babypie、Symbiotic的Sympie。加密KOL@CM曾表示，Magpie生态系统的产品已经参与了Pendle war、Cake war、Restaking war，以及将到来的Babylon war，通过subDAO已经掌握了很多主流DeFi协议的治理资源，堪称是“加密界劳模”。截至9月5日，Magpie已在多个协议中积累了超过13亿美元的TVL。

Penpie作为Magpie生态系统的DeFi收益增强产品，突发的安全事件必然会使其生态用户更加谨慎。在被爆出安全问题后不久，Penpie就表示已经找到了根本原因，并且Magpie生态系统中的所有其他协议仍然安全且不受影响。Magpie官方也第一时间在X平台发文表示，经过多方确认后，Magpie生态系统内的所有其他协议均不受影响且安全。不过，社区中仍有用户表示，新推出的基于Babylon的BTC再质押产品Babypie，最近正在推进融资、准备IDO，或会因此事受影响。ChainCatcher就Penpie本次安全事件向Babypie团队询问对其的影响。官方社区人员表示，每个SubDAO都是独立运行的，其他子DAO中的所有资金都是安全的（其他子DAO中不存在类似漏洞），并将重新检查、测试和审计我们所有的子DAO合同。