Incydent bezpieczeństwa
W dniu 4 września, Protokół DeFi Penpie, zbudowany na bazie Pendle, został zhakowany, w wyniku czego skradziono aktywa kryptograficzne o wartości około 27 milionów dolarów, w tym różne formy stakowanego Ethereum, sUSDE Etheny i owinięte stablecoiny USDC.
Według Certik był to największy atak reentrancy w 2024 r. i trzeci co do wielkości od stycznia 2021 r., po włamaniu Grim Finance (~40 mln USD w grudniu 2021 r.) i incydencie związanym z luką w zabezpieczeniach Vyper (~52 mln USD w lipcu 2023 r.).
Pomimo próby negocjacji Penpie z hakerem – oferując omówienie nagrody i rezygnację z działań prawnych, jeśli środki zostaną zwrócone – do 8 września haker zdeponował pozostałe 1 661 ETH (~ 3,77 mln USD) w Tornado Cash. Sugeruje to, że skradzione 27 milionów dolarów (przeliczone na 11 261 ETH) zostało w pełni wyprane za pośrednictwem Tornado Cash, a prawdopodobieństwo ich odzyskania jest bliskie zeru.
Wiele osób nigdy nie słyszało o Penpie, ale w rzeczywistości Penpie był pionierskim sukcesem w ekosystemie Magpie jako pierwszy udany model subDAO, kładąc podwaliny pod inne subDAO, takie jak Eigenpie, które później zyskały szersze uznanie.
Co dokładnie robi protokół Penpie? I czy po tym naruszeniu bezpieczeństwa nadal jest on konkurencyjny? Przyjrzyjmy się temu.
Mechanizm protokołu
Penpie działa na platformie Pendle. Nie zagłębiając się zbytnio w różne mechanizmy Pendle, podsumujmy kluczowe aspekty, aby wyjaśnić związek między Pendle i Penpie.
Pendle oferuje trzy główne sposoby uczestnictwa:
- Posiadanie PT (Principal Token) w celu uzyskania stałego dochodu.
- Trzymanie YT (Yield Token), aby spekulować na niepewnych zwrotach.
- Zapewnienie płynności (LP) dla par SY-PT (SY: token wrapper oryginalnego aktywa, gdzie SY = PT + YT).
YT i PT przemawiają do graczy o różnym apetycie na ryzyko, pomagając protokołom zintegrowanym z Pendle zwiększyć TVL (Total Value Locked). Utrzymanie wysokiego wzrostu TVL wymaga dużej płynności SY-PT, aby zapewnić niski poślizg w generowaniu nowych PT i YT. Aby przyciągnąć dostawców płynności (LP), Pendle oferuje zachęty w postaci tokenów PENDLE.
Posiadając wystarczającą ilość vePENDLE (1 PENDLE zablokowany na 4 lata równa się 1 vePENDLE, 2 lata równa się 0,5 vePENDLE i tak dalej), LP mogą zwiększyć swoje nagrody PENDLE nawet 2,5-krotnie.
Ale co, jeśli nie posiadasz PENDLE i nadal chcesz zmaksymalizować zwroty LP? Możesz zdeponować swoje tokeny LP w Liquid Lockers lub Yield Boosters, takich jak Penpie lub StakeDAO, które blokują PENDLE i przechowują duże ilości vePENDLE, pomagając ci zwiększyć zyski LP w zamian za część nagród i łapówek zewnętrznych stron trzecich.
Krótko mówiąc, Penpie pomaga dostawcom płynności na Pendle zwiększyć ich zyski bez blokowania tokenów PENDLE.
Obecna pozycja Penpie
Z powyższej analizy jasno wynika, że fundamentalna konkurencyjność Penpie zależy od ilości posiadanych vePENDLE. Im więcej vePENDLE, tym więcej LP (i większe kwoty) może pomóc, co prowadzi do wyższego wzrostu TVL i dochodu Penpie.
Czy po incydencie bezpieczeństwa Penpie nadal ma przewagę nad konkurencją? Odpowiedź brzmi zdecydowanie tak.
Penpie nie straciło żadnego ze swoich udziałów vePENDLE w hacku i pozostaje największym posiadaczem tokenów PENDLE, z ponad 12 milionami vePENDLE (37,59% całości), co przekracza łączne zasoby jego konkurentów, Equilibria i StakeDAO.
Z czysto funkcjonalnego punktu widzenia Penpie może nadal oferować wyższe zyski z pozostałych aktywów na platformie (ponad 100 milionów dolarów w tokenach Pendle LP).
Zaufanie musi jednak zostać odbudowane, a poszkodowani użytkownicy będą musieli otrzymać rekompensatę za poniesione straty.
Perspektywy na przyszłość
Na szczęście dla Penpie, jej główny składnik aktywów -vePENDLE, złota gęś – pozostaje nienaruszony. Teraz jednak musi się ustabilizować i zapewnić sprawiedliwy plan rekompensat dla użytkowników, którzy ponieśli straty w aktywach. Potencjalne rozwiązania mogą obejmować emisję obligacji kompensacyjnych lub tokenów odzyskiwania, które mogą wymagać od posiadaczy tokenów PNP poświęcenia części swoich zwrotów, priorytetowo traktując rekompensatę dla osób dotkniętych włamaniem.
W perspektywie krótkoterminowej ruchy cen tokenów PNP mogą być trudne, ale po przywróceniu funkcjonalności Penpie i zabezpieczeniu kodu pozostaje on zasadniczo zdrowym i praktycznym protokołem DeFi.