Penpie가 2,700만 달러를 도난당했는데, Magpie의 130억 달러 생태계에 영향이 있을까?

저자： 자몽, ChainCatcher

편집： 마르코, ChainCatcher

9월 5일, 수익 토큰화 프로토콜 Pendle을 기반으로 구축된 수익 제품 Penpie는 발표한 최신 보안 사건 보고서에서 이번 해킹 공격으로 2,700만 달러 이상의 ETH를 잃었다고 밝혔다.

DeFiLlama에 따르면, Penpie 플랫폼에 잠금된 암호 자산(TVL)은 약 9,000만 달러이며, 해커는 플랫폼에서 약 3분의 1의 자산을 탈취했다.

Penpie 프로토콜은 암호화 분야에서 유명하지 않지만, 그 뒤에 관련된 DeFi 프로토콜은 암호화 산업에 큰 영향을 미친다. 우선, 기본 수익 토큰화 프로토콜 Pendle은 약 25억 달러의 LST, LRT, 스테이블코인 등 생익 자산을 보유하고 있다. 또한, Magpie가 만든 subDAO 제품 중 하나로, Magpie 생태계 내에 잠금된 암호 자산의 가치는 13억 달러를 초과했다.

Penpie 2,700만 달러 도난, Pendle 토큰 당일 하락폭 10% 초과

9월 4일 아침, Pendle을 기반으로 한 수익 제품 Penpie가 계약 취약점으로 인해 해킹 공격을 받고 있으며, 손실 자산의 가치가 2,700만 달러를 초과한다고 보도되었다.

소식이 전해진 후, Penpie 플랫폼의 토큰 PNP는 35% 이상 하락했으며, 현재 0.9달러 정도에서 변동하고 있다.

이후 Penpie 공식은 모든 입출금 작업을 중단했으며, 팀이 문제를 처리하고 있다고 발표했으며, 해커에게 공개 서한을 보내 도난된 자금 반환 문제에 대해 협상할 의사를 밝혔다.

9월 5일 최신 보안 보고서에서 Penpie는 한 해커가 플랫폼의 보안 취약점을 이용해 가짜 Pendle 시장을 조작하여 Arbitrum과 이더리움 네트워크에서 2,700만 달러 이상의 ETH 자산(구체적으로 11,113.6개)을 탈취했다고 밝혔다.

이번 공격의 가장 큰 영향을 받은 것은 Penpie에 자산을 보관한 여러 LST 자산 프로토콜 사용자들로, 주로 Kelp DAO의 agETH, Swell의 rswETH, Lido의 stETH, Ethena의 sUSDe 및 Gains의 gUSDC가 포함된다.

Penpie는 수익 토큰화 프로토콜 Pendle을 기반으로 구축된 DeFi 수익 증대 거버넌스 프로토콜로, 주로 veToken 서비스를 제공하여 사용자가 Pendle 토큰 PENDLE의 스테이킹 및 잠금을 간소화하여 Pendle 토큰 보유자의 수익을 증대시키는 데 도움을 준다.

잘 알려진 바와 같이, Pendle은 LST, LRT와 같은 생익 자산을 원금 토큰(PT)과 수익 토큰(YT) 형태로 분할하여 사용자에게 거래할 수 있도록 한다.

Penpie와 Pendle의 관계는 "Convex와 Curve의 관계"와 유사하며, Pendle의 원주율 토큰 보유자는 Penpie를 통해 자신의 PENDLE 토큰을 스테이킹하여 mPENDLE을 얻을 수 있으며, mPENDLE 토큰을 보유하면 Pendle 프로토콜의 보상과 함께 Penpie의 원주율 토큰 PNP의 추가 보상을 받을 수 있다.

간단히 말해, Penpie는 Pendle의 veToken 모델에서 스테이킹, 잠금, 투표, 가속 등의 과정을 분리하여 사용자 대신 작동하는 제품이 되며, 사용자가 PENDLE을 mPENDLE로 변환할 때 Penpie는 자동으로 변환된 PENDLE을 Pendle Finance의 vePENDLE로 잠금하고, 추가로 Penpie의 원주율 토큰 PNP의 보상을 받을 수 있다.

Dune 데이터에 따르면, Penpie를 통해 스테이킹된 vePENDLE의 수량은 약 1,274만 개(약 3,800만 달러 가치)이며, vePENDLE에서 차지하는 비율은 거의 38%로, vePENDLE 보유량이 가장 높은 프로토콜이다.

그러나 이번 보안 사건은 Pendle의 자산에 큰 영향을 미치지 않았으며, 해커가 주로 공격한 것은 Penpie 플랫폼의 무허가 자산 풀의 자산이다.

올해 5월, Penpie 플랫폼은 무허가 자산 풀 기능을 추가하여 Pendle의 사용자가 해당 플랫폼에서 S웰의 rswETH LP와 같은 PT 또는 YT 토큰의 LP 자산 풀을 자유롭게 구축할 수 있도록 하였으며, 사용자가 Penpie 플랫폼에 LP를 예치하면 추가로 PNP 토큰 보상을 받을 수 있어 일석이조의 효과를 얻을 수 있다.

이번 보안 공격은 해커가 Penpie 플랫폼의 취약점을 이용해 가짜 Pendle 자산 풀을 구축하여 자금 이동을 실현한 것이다.

보안 사건이 발생한 후, Pendle은 관련 계약을 신속히 중단하여 약 1억 5천만 달러를 효과적으로 보호했다고 밝혔다. 곧이어 Pendle은 모든 계약 작업이 복구되었으며, 거래가 정상적으로 진행될 수 있다고 발표했다. 보안 취약점은 Penpie 플랫폼에만 국한되며, Pendle의 자산은 영향을 받지 않고 안전하다.

또한, Pendle의 또 다른 수익 증대 프로토콜 Equilibria는 플랫폼 자산이 안전하며, 계약 코드(펜파이와 다름)가 다르며, Equilibria에서 Pendle 시장 풀을 추가하려면 핵심 팀의 승인 권한이 필요하고, 보상 지급에는 7일의 대기 기간이 있다고 발표했다.

그러나 Penpie가 공격당한 날, Pendle 토큰 PENDLE은 10% 이상 하락했으며, 현재 가격은 2.79달러이다.

Penpie 도난이 Magpie 계열 제품에 미치는 영향은 무엇인가?

Penpie는 Magpie가 만든 대표 제품 중 하나로, 이번 보안 사건이 Magpie 생태계에 미치는 영향은 암호화 커뮤니티 사용자들에게 더욱 우려를 불러일으킨다. 현재 Magpie 생태계의 제품은 여러 DeFi 프로토콜에 침투해 있으며, 만약 집중적으로 보안 문제가 발생한다면 그 영향 범위는 매우 클 것이다.

Magpie는 다중 체인 DeFi 관리 플랫폼으로, 중국 커뮤니티에서 "까치"라고 불리며, 주로 veToken 경제 모델을 채택한 DeFi 프로토콜 사용자에게 수익 증대 서비스 등을 제공하고 있으며, 현재는 LST/LRT 재스테이킹 서비스 제공에 집중하고 있다.

일반적인 크로스 체인 DEX와 같은 DeFi 제품과는 달리, Magpie 플랫폼은 SubDAO(서브 DAO) 모델을 통해 생태계 내 여러 DeFi 프로토콜을 생성, 확장 및 관리하며, 각 SubDAO는 독립적으로 운영되고 개별 프로토콜을 책임지며, 자체 거버넌스 토큰을 발행하고, 각 SubDAO가 발행한 거버넌스 토큰의 15-20%는 Magpie 금고에 기부된다.

현재 Magpie 생태계에는 10개의 subDAO가 있으며, 주로 두 가지 범주로 나눌 수 있다:

하나는 DeFi 프로토콜의 veToken에 대한 증대 서비스를 제공하는 것으로, Pendle을 기반으로 한 Penpie, DEX 플랫폼 PancakeSwap의 Cakepie, DEX 플랫폼 Wombat Exchange의 Wompie, 다중 체인 대출 Radiant의 Radpie 등이 있다;

다른 하나는 재스테이킹 LST 또는 LRT 서비스에 기반한 것으로, 재스테이킹 프로토콜을 기반으로 한 Lista DAO의 Listapie, EigenLayer의 Eigenpie, Babylon의 Babypie, Symbiotic의 Sympie가 있다.

암호화 KOL @CM은 Magpie 생태계의 제품이 Pendle 전쟁, Cake 전쟁, 재스테이킹 전쟁 및 다가오는 Babylon 전쟁에 이미 참여하고 있으며, subDAO를 통해 많은 주요 DeFi 프로토콜의 거버넌스 자원을 확보하고 있다고 밝혔다. 이는 "암호화계의 노동 모델"로 불릴 만하다.

9월 5일 기준으로, Magpie는 여러 프로토콜에서 130억 달러 이상의 TVL을 축적했다.

Penpie는 Magpie 생태계의 DeFi 수익 증대 제품으로, 갑작스러운 보안 사건은 반드시 생태계 사용자들에게 신중함을 요구할 것이다.

보안 사건이 발생한 직후, Penpie는 즉시 근본 원인을 찾았으며, Magpie 생태계 내의 모든 다른 프로토콜은 여전히 안전하고 영향을 받지 않는다고 밝혔다.

Magpie 공식도 즉시 X 플랫폼에 게시하여 여러 번 확인한 결과, Magpie 생태계 내의 모든 다른 프로토콜은 영향을 받지 않고 안전하다고 밝혔다.

그러나 여전히 커뮤니티 사용자들은 최근 자금을 조달하고 IDO를 준비 중인 Babylon 기반의 BTC 재스테이킹 제품 Babypie가 이번 사건으로 인해 영향을 받을 수 있다고 우려하고 있다.

ChainCatcher는 Penpie의 이번 보안 사건이 Babypie에 미치는 영향에 대해 Babypie 팀에 문의했다.

공식 커뮤니티 직원은 각 SubDAO가 독립적으로 운영되며, 다른 SubDAO의 모든 자금은 안전하다고(다른 SubDAO에는 유사한 취약점이 존재하지 않음) 답변했으며, 모든 SubDAO 계약을 재검토, 테스트 및 감사할 것이라고 밝혔다.