Incident de sécurité
Le 4 septembre, le protocole DeFi protocole Penpie, construit au-dessus de Pendle, a été piraté, ce qui a entraîné le vol d’environ 27 millions de dollars d’actifs cryptographiques, y compris diverses formes d’Ethereum mis en jeu, le sUSDE d’Ethena et des stablecoins USDC enveloppés.
Selon Certik, il s’agit de la plus grande attaque de réentrance en 2024, et de la troisième plus importante depuis janvier 2021, après le piratage de Grim Finance (~40 millions de dollars en décembre 2021) et l’incident de vulnérabilité de Vyper (~52 millions de dollars en juillet 2023).
Malgré la tentative de Penpie de négocier avec le pirate – en proposant de discuter d’une prime et de renoncer à des poursuites judiciaires si les fonds étaient restitués – le 8 septembre, le pirate avait déposé les 1 661 ETH restants (~3,77 millions de dollars) dans Tornado Cash. Cela suggère que les 27 millions de dollars volés (convertis en 11 261 ETH) ont été entièrement blanchis par l’intermédiaire de Tornado Cash, et que la probabilité de récupération est proche de zéro.
Beaucoup n’avaient jamais entendu parler de Penpie avant le hack, mais en réalité, Penpie a été un succès pionnier au sein de l’écosystème Magpie en tant que premier modèle de sous-DAO réussi, jetant les bases d’autres sous-DAO comme Eigenpie, qui a ensuite été plus largement reconnu.
Alors, que fait exactement le protocole Penpie ? Et après cette faille de sécurité, est-il encore compétitif ? Voyons cela de plus près.
Mécanisme du protocole
Penpie fonctionne sur la plateforme Pendle. Sans plonger trop profondément dans les différents mécanismes de Pendle, résumons les aspects clés pour clarifier la relation entre Pendle et Penpie.
Pendle propose trois façons principales de participer :
- Détention de PT (Principal Token) pour obtenir un revenu fixe.
- Détenir des YT (Yield Token) pour spéculer sur des rendements incertains.
- Fournir de la liquidité (LP) pour les paires SY-PT (SY : un jeton d’enveloppe de l’actif original, où SY = PT + YT).
YT et PT attirent des joueurs ayant des appétences différentes pour le risque, ce qui permet aux protocoles intégrés à Pendle d’augmenter la TVL (Total Value Locked). Le maintien d’une croissance élevée de la TVL nécessite une liquidité SY-PT importante afin de garantir un faible glissement pour la génération de nouveaux PT et YT. Pour attirer les fournisseurs de liquidités (LPs), Pendle offre des incitations sous la forme de jetons PENDLE.
En détenant suffisamment de vePENDLE (1 PENDLE bloqué pendant 4 ans équivaut à 1 vePENDLE, 2 ans équivaut à 0,5 vePENDLE, et ainsi de suite), les LP peuvent multiplier leurs récompenses PENDLE par 2,5.
Mais que se passe-t-il si vous ne possédez pas de PENDLE et que vous souhaitez tout de même maximiser les rendements en LP ? Vous pouvez déposer vos jetons LP dans des Liquid Lockers ou des Yield Boosters tels que Penpie ou StakeDAO, qui verrouillent PENDLE et détiennent de grandes quantités de vePENDLE, vous aidant ainsi à augmenter vos retours LP en échange d’une part des récompenses et de pots-de-vin de tiers externes.
En bref, Penpie aide les fournisseurs de liquidités sur Pendle à augmenter leurs rendements sans bloquer les jetons PENDLE.
Situation actuelle de Penpie
L’analyse ci-dessus montre clairement que la compétitivité fondamentale de Penpie dépend de la quantité de vePENDLE qu’elle détient. Plus il y a de vePENDLE, plus il y a de LPs (et des montants élevés) qu’il peut aider, ce qui se traduit par une croissance de la TVL et des revenus plus élevés pour Penpie.
Alors, après l’incident de sécurité, Penpie a-t-il encore un avantage concurrentiel ? La réponse est un oui retentissant.
Penpie n’a perdu aucun de ses vePENDLE dans le hack et reste le plus grand détenteur de jetons PENDLE, avec plus de 12 millions de vePENDLE (37,59% du total), ce qui dépasse les avoirs combinés de ses concurrents, Equilibria et StakeDAO.
D’un point de vue purement fonctionnel, Penpie peut encore offrir des rendements plus élevés pour les actifs restants sur la plateforme (plus de 100 millions de dollars en jetons Pendle LP).
Cependant, la confiance doit être rétablie et les utilisateurs touchés devront être indemnisés pour leurs pertes.
Perspectives d’avenir
Pour Penpie, son actif principal – VePENDLE, la poule aux œufs d’or – reste intact, ce qui est une chance. Cependant, elle doit maintenant se stabiliser et fournir un plan de compensation équitable pour les utilisateurs qui ont subi des pertes d’actifs. Les solutions potentielles pourraient inclure l’émission d’obligations de compensation ou de jetons de récupération, ce qui pourrait obliger les détenteurs de jetons PNP à sacrifier une partie de leur rendement, en donnant la priorité à l’indemnisation des personnes touchées par le piratage.
À court terme, les mouvements de prix des jetons PNP peuvent être difficiles, mais une fois que la fonctionnalité de Penpie est restaurée et que le code est sécurisé, il reste un protocole DeFi fondamentalement sain et pratique.