Sicherheitsvorfall
Am 4. September wurde das DeFi-Protokoll Penpie, das auf Pendle aufbaut, wurde gehackt, was zum Diebstahl von Krypto-Vermögenswerten im Wert von rund 27 Millionen US-Dollar führte, darunter verschiedene Formen von Ethereum, Ethenas sUSDE und verpackte USDC-Stablecoins.
Laut Certik war dies der größte Wiederholungsangriff im Jahr 2024 und der drittgrößte seit Januar 2021, nach dem Grim Finance-Hack (~40 Millionen Dollar im Dezember 2021) und dem Vyper-Sicherheitsvorfall (~52 Millionen Dollar im Juli 2023).
Trotz des Versuchs von Penpie, mit dem Hacker zu verhandeln – er bot an, über ein Kopfgeld zu verhandeln und auf rechtliche Schritte zu verzichten, wenn die Gelder zurückgegeben würden – hatte der Hacker bis zum 8. September die verbleibenden 1.661 ETH (~ 3,77 Millionen US-Dollar) bei Tornado Cash eingezahlt. Dies deutet darauf hin, dass die gestohlenen 27 Millionen US-Dollar (umgerechnet 11.261 ETH) vollständig über Tornado Cash gewaschen wurden und die Wahrscheinlichkeit einer Wiedererlangung nahe Null ist.
Viele hatten bis zum Hack noch nie von Penpie gehört, aber in Wirklichkeit war Penpie ein bahnbrechender Erfolg innerhalb des Magpie-Ökosystems als erstes erfolgreiches subDAO-Modell, das den Grundstein für andere subDAOs wie Eigenpie legte, die später eine breitere Anerkennung fanden.
Was genau macht das Penpie-Protokoll? Und ist es nach dieser Sicherheitslücke noch konkurrenzfähig? Lassen Sie uns das untersuchen.
Mechanismus des Protokolls
Penpie arbeitet auf der Plattform Pendle. Ohne zu tief in die verschiedenen Mechanismen von Pendle einzutauchen, fassen wir die wichtigsten Aspekte zusammen, um die Beziehung zwischen Pendle und Penpie zu verdeutlichen.
Pendle bietet im Wesentlichen drei Möglichkeiten zur Teilnahme:
- Halten von PT (Principal Token) zur Erzielung fester Erträge.
- YT (Yield Token) halten, um auf ungewisse Erträge zu spekulieren.
- Bereitstellung von Liquidität (LP) für SY-PT-Paare (SY: ein Wrapper-Token des ursprünglichen Vermögenswerts, wobei SY = PT + YT).
YT und PT sprechen Spieler mit unterschiedlicher Risikobereitschaft an und helfen den in Pendle integrierten Protokollen, den TVL (Total Value Locked) zu erhöhen. Um ein hohes TVL-Wachstum aufrechtzuerhalten, ist reichlich SY-PT-Liquidität erforderlich, um einen geringen Schlupf bei der Generierung neuer PT und YT zu gewährleisten. Um Liquiditätsanbieter (LPs) anzuziehen, bietet Pendle Anreize in Form von PENDLE-Tokens.
Durch den Besitz von genügend vePENDLE (1 PENDLE, der 4 Jahre lang gesperrt ist, entspricht 1 vePENDLE, 2 Jahre entsprechen 0,5 vePENDLE usw.) können LPs ihre PENDLE-Belohnungen um das bis zu 2,5-fache steigern.
Was aber, wenn Sie keinen PENDLE besitzen und trotzdem Ihre LP-Renditen maximieren wollen? Sie können Ihre LP-Token in Liquid Lockers oder Yield Boostern wie Penpie oder StakeDAO deponieren, die PENDLE sperren und große Mengen an vePENDLE halten und Ihnen helfen, Ihre LP-Renditen im Austausch für einen Anteil an den Belohnungen und externen Bestechungsgeldern Dritter zu erhöhen.
Kurz gesagt, Penpie hilft Liquiditätsanbietern auf Pendle, ihre Rendite zu steigern, ohne PENDLE-Token zu blockieren.
Penpies aktueller Stand
Aus der obigen Analyse wird deutlich, dass die grundlegende Wettbewerbsfähigkeit von Penpie von der Menge an vePENDLE abhängt, die das Unternehmen besitzt. Je mehr vePENDLE, desto mehr LPs (und größere Beträge) kann Penpie unterstützen, was zu einem höheren TVL-Wachstum und höheren Einnahmen für Penpie führt.
Hat Penpie nach dem Sicherheitsvorfall also immer noch einen Wettbewerbsvorteil? Die Antwort ist ein klares Ja.
Penpie hat durch den Hack keinen seiner vePENDLE-Bestände verloren und bleibt mit über 12 Millionen vePENDLE (37,59 % der Gesamtmenge) der größte PENDLE-Token-Inhaber, was die kombinierten Bestände der Konkurrenten Equilibria und StakeDAO übersteigt.
Aus rein funktionaler Sicht kann Penpie immer noch höhere Renditen für die verbleibenden Vermögenswerte auf der Plattform bieten (über 100 Millionen Dollar in Pendle LP Token).
Allerdings muss das Vertrauen wiederhergestellt werden, und die betroffenen Nutzer müssen für ihre Verluste entschädigt werden.
Zukünftiger Ausblick
Das Kernstück von Penpie – vPENDLE, die goldene Gans – bleibt erhalten, was ein Glück ist. Allerdings muss sich das Unternehmen nun stabilisieren und einen fairen Entschädigungsplan für Nutzer aufstellen, die Vermögensverluste erlitten haben. Mögliche Lösungen könnten die Ausgabe von Entschädigungsanleihen oder Wiederherstellungs-Tokens sein, die von den Inhabern von PNP-Tokens verlangen könnten, einen Teil ihrer Rendite zu opfern, um vorrangig die vom Hack Betroffenen zu entschädigen.
Kurzfristig mag der Preis der PNP-Token schwanken, aber sobald die Funktionalität von Penpie wiederhergestellt und der Code gesichert ist, bleibt es ein grundsätzlich gesundes und praktisches DeFi-Protokoll.