Revize mechanismu protokolu Penpie: Dopad hackerského útoku by se neměl přeceňovat
Bezpečnostní incident
Dne 4. září se na stránkách DeFi protokol Penpie, postavený nad Pendlem, byl napaden hackery, což vedlo ke krádeži kryptoaktiv v hodnotě přibližně 27 milionů dolarů, včetně různých forem staked Etherea, sUSDE Ethena a zabalených stablecoinů USDC.
Podle společnosti Certik se jednalo o největší útok na reentrancy v roce 2024 a třetí největší od ledna 2021, po hackerském útoku na společnost Grim Finance (~40 milionů USD v prosinci 2021) a incidentu se zranitelností Vyper (~52 milionů USD v červenci 2023).
Navzdory tomu, že se Penpie pokusila s hackerem vyjednávat a nabídla mu odměnu a vzdala se právních kroků v případě vrácení prostředků, hacker 8. září uložil zbývajících 1 661 ETH (~3,77 milionu dolarů) do Tornado Cash. To naznačuje, že ukradených 27 milionů dolarů (v přepočtu 11 261 ETH) bylo plně vypráno prostřednictvím Tornado Cash a pravděpodobnost jejich navrácení se blíží nule.
Mnozí o Penpie až do hacknutí nikdy neslyšeli, ale ve skutečnosti byla Penpie průkopnickým úspěchem v rámci ekosystému Magpie jako první úspěšný model subDAO, který položil základy pro další subDAO, jako je Eigenpie, který později získal širší uznání.
Co přesně protokol Penpie dělá? A je po tomto narušení bezpečnosti ještě konkurenceschopný? Pojďme to prozkoumat.
Mechanismus protokolu
Penpie funguje na platformě Pendle. Aniž bychom se příliš nořili do různých mechanismů platformy Pendle, shrňme si klíčové aspekty, abychom si ujasnili vztah mezi platformami Pendle a Penpie.
Pendle nabízí tři hlavní způsoby účasti:
- Držení PT (Principal Token) pro získání fixního příjmu.
- Držení YT (Yield Token) pro spekulaci na nejisté výnosy.
- Poskytování likvidity (LP) pro páry SY-PT (SY: obalový token původního aktiva, kde SY = PT + YT).
YT a PT oslovují hráče s různým rizikovým apetitem a pomáhají protokolům integrovaným s Pendlem zvyšovat TVL (Total Value Locked). Udržení vysokého růstu TVL vyžaduje dostatečnou likviditu SY-PT, která zajistí nízký skluz při generování nových PT a YT. Aby společnost Pendle přilákala poskytovatele likvidity (LP), nabízí pobídky v podobě tokenů PENDLE.
Držením dostatečného počtu vePENDLE (1 PENDLE uzamčený po dobu 4 let se rovná 1 vePENDLE, 2 roky se rovnají 0,5 vePENDLE atd.) mohou LP zvýšit své odměny za PENDLE až 2,5krát.
Ale co když nevlastníte PENDLE, a přesto chcete maximalizovat výnosy LP? Své žetony LP můžete vložit do Liquid Lockers nebo Yield Boosterů, jako jsou Penpie nebo StakeDAO, které uzamykají PENDLE a drží velké množství vePENDLE, čímž vám pomáhají zvýšit výnosy LP výměnou za podíl na odměnách a externích úplatcích třetích stran.
Stručně řečeno, Penpie pomáhá poskytovatelům likvidity na Pendlu zvyšovat jejich výnosy, aniž by blokovali tokeny PENDLE.
Aktuální pozice Penpie
Z výše uvedené analýzy je zřejmé, že základní konkurenceschopnost společnosti Penpie závisí na množství vePENDLE, které drží. Čím více vePENDLE, tím více LP (a ve větších částkách) může pomoci, což vede k vyššímu růstu TVL a příjmu společnosti Penpie.
Má tedy společnost Penpie i po bezpečnostním incidentu stále konkurenční výhodu? Odpověď zní jednoznačně ano.
Společnost Penpie při hackování nepřišla o žádný ze svých tokenů vePENDLE a zůstává největším držitelem tokenů PENDLE s více než 12 miliony vePENDLE (37,59 % z celkového počtu), což převyšuje celkový počet tokenů jejích konkurentů, společností Equilibria a StakeDAO.
Z čistě funkčního hlediska může Penpie stále nabízet vyšší výnosy za zbývající aktiva na platformě (více než 100 milionů dolarů v tokenech Pendle LP).
Je však třeba obnovit důvěru a postiženým uživatelům kompenzovat jejich ztráty.
Výhled do budoucna
Pro společnost Penpie zůstává její hlavní aktivum, zlatá husa -vePENDLE, nedotčeno, což je štěstí. Nyní se však musí stabilizovat a poskytnout spravedlivý plán odškodnění uživatelům, kteří utrpěli ztrátu aktiv. Potenciální řešení by mohlo zahrnovat vydávání kompenzačních dluhopisů nebo žetonů pro obnovu, což může vyžadovat, aby držitelé žetonů PNP obětovali část svých výnosů, a upřednostnili tak kompenzaci pro ty, kteří byli hackem postiženi.
V krátkodobém horizontu může dojít k potížím s pohybem cen tokenů PNP, ale jakmile bude funkčnost Penpie obnovena a kód zabezpečen, zůstane v zásadě zdravým a praktickým protokolem DeFi.