Pendle巨鲸因自定义智能合约漏洞损失130万美元

执行摘要

慢雾余弦报告称，一位重要的 Pendle 代币持有者因其自行创建的 onMorphoFlashLoan 合约遭到利用而遭受超过 130 万美元的损失。此漏洞使得恶意行为者能够操纵用户在 AAVE 和 Pendle 上的委托头寸，凸显了去中心化金融中自定义部署面临的持续安全挑战。

事件详情

此次事件涉及一位著名的 Pendle 巨鲸，其损失超过 130 万美元。攻击向量被确定为用户自行创建的 onMorphoFlashLoan 智能合约中的一个关键漏洞。该合约在设计时具有开放的可访问性，允许任何外部实体调用其功能。黑客利用这一权限执行了未经授权的操作，特别是操纵了该巨鲸在 AAVE 和 Pendle 协议上的委托头寸。此次漏洞利用强调了个人用户在未进行严格安全审计的情况下部署自定义智能合约（特别是那些与成熟 DeFi 平台交互的合约）时面临的重大风险。

财务机制与业务策略

此次漏洞利用的核心在于 onMorphoFlashLoan 合约的设计，根据慢雾的分析，该合约被构造成允许来自任何地址的调用。这种错误配置使得攻击者能够绕过访问控制并与巨鲸的委托资产进行交互。尽管涉及的具体金融工具是用户在 AAVE 和 Pendle 上的委托头寸，但其根本机制是对安全性差的自定义智能合约的滥用。Pendle Finance 团队在彻底调查后证实其核心协议资金仍然安全，从而将此漏洞与协议级漏洞区分开来。然而，另一起事件是，Penpie（一个基于 Pendle 构建的独立协议）遭受了 2700 万美元的智能合约漏洞利用，导致 Lido 质押 ETH (wstETH)、Ethena 的 sUSDe 和 Swell 的 rswETH 被抽空。这一更广泛的背景进一步强调了 Web3 生态系统中多样化且相互关联的安全挑战。此外，在此期间 PENDLE 代币观察到显著的链上移动，Arthur Hayes 在 24% 的价格飙升之前出售了 159 万枚 PENDLE 代币，遭受了 129 万美元的损失。尽管此事件与漏洞利用不同，但它凸显了市场波动性和大持有者的影响力。

市场影响

此次事件再次强调了在 DeFi 中加强用户部署智能合约和委托头寸管理安全实践的必要性。预计将增加对自定义合约审计以及授予其权限的审查，特别是那些与 AAVE 和 Pendle 等核心协议交互的合约。更广泛的市场影响包括对个人或小型团队开发的合约持谨慎态度，即使成熟协议保持其安全性。复杂的社会工程攻击和委托机制（例如 EIP-7702 引入的机制）中的漏洞不断增加，持续构成风险，Web3 生态系统在 2025 年上半年面临 3973 万美元的网络钓鱼损失，涉及 43628 个受害者地址。此事件加剧了对 DeFi 领域整体安全状况日益增长的担忧，截至 2025 年 9 月，全球区块链黑客事件造成的总损失估计达到 366.33 亿美元。

专家评论

慢雾余弦，一位著名的区块链安全专家，详细阐述了此次漏洞利用，强调漏洞存在于用户自行创建的合约中。余弦一贯强调 Web3 生态系统的“黑暗森林”本质，其中安全挑战、攻击趋势和防御策略至关重要。根据慢雾 Hacked 数据，截至 2025 年 9 月，智能合约漏洞是事件发生最多的原因（328 起）。余弦在香港大学商学院等机构的讲座强调了加密资产风险的预防措施和事件响应。此外，Halborn 在 2025 年的一项审查表明，配置错误的“仅限所有者”功能或角色分配是 80% 被盗 DeFi 管理密钥的原因。Aave 也积极教育用户了解智能合约风险和安全实践，包括理解交易批准。

更广泛的背景

onMorphoFlashLoan 合约的漏洞利用表明，除了核心协议安全之外，还存在更广泛的系统性漏洞。尽管 Pendle 等主要 DeFi 协议通常具有强大的安全性，但生态系统的相互关联性意味着用户创建的合约和第三方集成引入了新的攻击面。此次事件与 2025 年上半年观察到的趋势一致，即尽管安全事件数量有所减少（121 起），但总损失与 2024 年上半年相比增加了约 65.94%，达到 23.73 亿美元。智能合约漏洞和账户泄露仍然是这些损失的主要原因。以太坊 EIP-7702 等新功能的出现（允许合约委托）也引入了新的风险边界，使攻击者能够在用户被网络钓鱼网站欺骗的情况下利用授权合约。专家们一致建议遵守安全编码标准、严格的工具、分层审计和持续监控，因为 49% 的可利用合约在部署后 30 天内遭到攻击。