Beveiligingsincident
Op 4 september werd het DeFi protocol Penpie, gebouwd bovenop Pendle, werd gehackt, wat resulteerde in de diefstal van ongeveer $27 miljoen aan crypto-activa, waaronder verschillende vormen van gestackte Ethereum, Ethena’s sUSDE en verpakte USDC stablecoins.
Volgens Certik was dit de grootste reentrancy-aanval in 2024 en de op twee na grootste sinds januari 2021, na de Grim Finance-hack (~$40 miljoen in december 2021) en het Vyper-kwetsbaarheidsincident (~$52 miljoen in juli 2023).
Ondanks Penpie’s poging om te onderhandelen met de hacker – hij bood aan om een premie te bespreken en af te zien van juridische stappen als het geld werd teruggegeven – had de hacker op 8 september de resterende 1.661 ETH (~$3,77 miljoen) gestort in Tornado Cash. Dit suggereert dat de $27 miljoen gestolen (omgezet in 11.261 ETH) volledig is witgewassen via Tornado Cash, en de kans op herstel is bijna nul.
Velen hadden tot de hack nog nooit van Penpie gehoord, maar in werkelijkheid was Penpie een baanbrekend succes binnen het Magpie ecosysteem als het eerste succesvolle subDAO model, dat de basis legde voor andere subDAO’s zoals Eigenpie, dat later een bredere erkenning kreeg.
Dus, wat doet het Penpie-protocol precies? En is het na dit beveiligingslek nog steeds concurrerend? Laten we het onderzoeken.
Protocol Mechanisme
Penpie werkt op het Pendle platform. Zonder al te diep in de verschillende mechanismen van Pendle te duiken, vatten we de belangrijkste aspecten samen om de relatie tussen Pendle en Penpie te verduidelijken.
Pendle biedt drie manieren om deel te nemen:
- PT (Principal Token) houden om vaste inkomsten te krijgen.
- YT (Yield Token) houden om te speculeren op onzekere rendementen.
- Liquiditeit verschaffen (LP) voor paren SY-PT (SY: een wrapper token van het oorspronkelijke activum, waarbij SY = PT + YT).
YT en PT zijn aantrekkelijk voor spelers met verschillende risicobereidheid en helpen geïntegreerde protocollen met Pendle om TVL (Total Value Locked) te verhogen. Om een hoge TVL-groei te behouden, is voldoende SY-PT-liquiditeit nodig om een lage slip te garanderen voor het genereren van nieuwe PT en YT. Om liquiditeitsverschaffers (LP’s) aan te trekken, biedt Pendle stimulansen in de vorm van PENDLE tokens.
Door genoeg vePENDLE te bezitten (1 PENDLE geblokkeerd gedurende 4 jaar is gelijk aan 1 vePENDLE, 2 jaar is gelijk aan 0,5 vePENDLE, enzovoort), kunnen LP’s hun PENDLE-beloningen tot 2,5 keer verhogen.
Maar wat als je geen PENDLE bezit en toch je LP-rendementen wilt maximaliseren? Je kunt je LP-tokens storten in Liquid Lockers of Yield Boosters zoals Penpie of StakeDAO, die PENDLE vergrendelen en grote hoeveelheden vePENDLE bezitten, waardoor je je LP-rendement kunt verhogen in ruil voor een deel van de beloningen en externe steekpenningen van derden.
Kortom, Penpie helpt liquiditeitsverschaffers op Pendle hun opbrengsten te verhogen zonder PENDLE tokens vast te zetten.
Penpie’s huidige status
Uit de bovenstaande analyse blijkt duidelijk dat het fundamentele concurrentievermogen van Penpie afhangt van de hoeveelheid vePENDLE die het bezit. Hoe meer vePENDLE, hoe meer LP’s (en grotere bedragen) het kan helpen, wat leidt tot een hogere TVL-groei en inkomsten voor Penpie.
Heeft Penpie na het beveiligingsincident nog steeds een concurrentievoordeel? Het antwoord is een volmondig ja.
Penpie heeft geen van zijn vePENDLE holdings verloren in de hack en blijft de grootste PENDLE token houder, met meer dan 12 miljoen vePENDLE (37,59% van het totaal), wat groter is dan de gecombineerde holdings van zijn concurrenten, Equilibria en StakeDAO.
Vanuit een puur functioneel perspectief kan Penpie nog steeds hogere opbrengsten bieden voor de resterende activa op het platform (meer dan $100 miljoen in Pendle LP tokens).
Het vertrouwen moet echter worden hersteld en de getroffen gebruikers moeten worden gecompenseerd voor hun verliezen.
Toekomstperspectief
Voor Penpie blijft zijn kernactiva -vePENDLE, de gouden gans- intact, wat een geluk is. Het moet nu echter stabiliseren en een eerlijk compensatieplan opstellen voor gebruikers die activa hebben verloren. Mogelijke oplossingen zijn onder andere de uitgifte van compensatieobligaties of hersteltokens, waarvoor houders van PNP-tokens mogelijk een deel van hun rendement moeten opofferen.
Op de korte termijn kunnen de prijsbewegingen van de PNP-tokens tegenvallen, maar zodra de functionaliteit van Penpie is hersteld en de code is beveiligd, blijft het een fundamenteel gezond en praktisch DeFi-protocol.