Crypto-Sec：两名审计员未发现价值 2700 万美元的 Penpie 漏洞和 Pythia 的“索赔奖励”漏洞

Pythia Finance在9月3日遭受了一次重入攻击，导致54300美元被盗，该攻击利用了"claim rewards"功能的漏洞。此外，Zyxel披露了一项严重漏洞，允许攻击者在用户的路由器和接入点上执行代码。Penpie则发生了一次2700万美元的漏洞事件，攻击者利用允许任何用户创建Pendle市场的缺陷，进行虚假市场和奖励的操作，从而导致资金被盗。

关键点
- Pythia Finance遭受重入攻击，结果损失54300美元。
- 攻击者通过重复调用“claim rewards”函数来不当收集奖励。
- Zyxel发现其某些网络设备存在严重要漏洞，可能允许攻击者远程执行代码。
- 攻击者可通过操控用户网络来实施DNS欺骗和社交工程攻击。
- Penpie的2700万美元损失源于其协议中允许用户创建Pendle市场的设计缺陷。
- 后续审核中发现Penpie在更早版本中并未存在该漏洞，这一漏洞归因于新系统的引入。
- Penpie团队承诺将未来定期进行全面安全审计以防止类似事件再发生。

2 auditors miss $27M Penpie flaw, Pythia’s ‘claim rewards’ bug: Crypto-Sec