A Well-Designed "Self-Detonation": Analysis of the PGNLZ Attack Incident

marsbitPubblicato 2026-01-28Pubblicato ultima volta 2026-01-28

Introduzione

On January 27, 2026, an attacker executed a well-orchestrated exploit against the PGNLZ token on BNB Smart Chain, resulting in approximately $100k in losses. The attacker initiated a flash loan of 1,059 BTCB from Moolah Protocol, used it as collateral on Venus Protocol to borrow 30 million USDT, and then exchanged 23,337,952 USDT for 982,506 PGNLZ on PancakeSwap. These PGNLZ tokens were intentionally burned (sent to a dead address), drastically reducing the liquidity pool supply. This manipulation caused the price of PGNLZ to surge from approximately $0.10 to over $5,528 per token. The attacker then invoked a fee-on-transfer function, triggering a built-in burn mechanism (_executeBurnFromLP) that further depleted the pool, leaving only a minuscule amount of PGNLZ and artificially inflating the price to an extreme 40 billion times its original value. Finally, the attacker drained the liquidity pool, repaid the flash loan, and netted a significant profit. The root cause was identified as a flawed deflationary economic model with insufficient validation during fee processing and LP burns, allowing price manipulation. The incident underscores the importance of rigorous economic model design and multi-audit practices before contract deployment.

Background Introduction

On January 27, 2026, we monitored an attack on the PGNLZ project on the BNB Smart Chain:

https://bscscan.com/tx/0xa7488ff4d6a85bf19994748837713c710650378383530ae709aec628023cd7cc

After detailed analysis, the attacker continuously launched attacks against the PGNLZ project on January 27, 2026, resulting in a loss of approximately 100k USD.

Attack and Incident Analysis

The attacker first borrowed 1,059 BTCB via a flash loan from Moolah Protocol,

Subsequently, they collateralized the 1,059 BTCB on Venus Protocol to borrow 30,000,000 USDT.

Next, the attacker called the function `swapTokensForExactTokens` on PancakeSwap, using 23,337,952 USDT to exchange for 982,506 PGNLZ, but then burned these PGNLZ (sent them to 0xdead).

Before the swap, the PancakeSwap Pool contained 100,901 USDT and 982,506 PGNLZ, making the price of PGNLZ 1 PGNLZ = 0.1 USDT. After the swap, the PancakeSwap Pool had 23,438,853 USDT and 4,240 PGNLZ remaining, making the price of PGNLZ 1 PGNLZ = 5,528 USDT.

Subsequently, the attacker called the function `swapExactTokensForTokensSupportingFeeOnTransferTokens`. This function primarily supports Fee-On-Transfer Tokens, i.e., tokens that incur fees on transactions. PGNLZ uses `_update` to handle transaction fees. The specific call chain is: transferFrom -> _spendAllowance -> _transfer -> _update

Since this was a sell, `_handleSellTax` was called.

Let's look at how `_executeBurnFromLP` is implemented.

It can be seen that `_executeBurnFromLP` uses `_update` to burn the quantity of PGNLZ specified by `pendingBurnFromLP`. In the previous block, `pendingBurnFromLP` was queried as 4,240,113,074,578,781,194,669.

After the burn, the LP Pool was left with only 0.00000001 PGNLZ, making the price 1 PGNLZ = 234,385,300,000,000 USDT, a 40 Billion-fold increase.

Finally, the attacker drained the LP Pool, repaid the flash loan, and profited 100k USDT.

Summary

The cause of this vulnerability was the deflationary economic model, which lacked validation during fee deductions or LP Pool burns. This allowed the attacker to manipulate the token's price using its deflationary characteristics. It is recommended that project teams conduct thorough multi-party validation when designing economic models and code execution logic. Before contract deployment, opt for cross-audits from multiple auditing firms during the audit phase.

Domande pertinenti

QWhat was the total financial loss caused by the attack on the PGNLZ project?

AThe attack resulted in a loss of approximately 100,000 USD.

QHow did the attacker manipulate the price of PGNLZ token during the attack?

AThe attacker first swapped a large amount of USDT for PGNLZ and burned the tokens, drastically reducing the supply in the liquidity pool. This caused the price of PGNLZ to skyrocket by 40 billion times, from 0.1 USDT to 234,385,300,000,000 USDT per token.

QWhich function did the attacker exploit to handle the fee-on-transfer mechanism during the sell operation?

AThe attacker exploited the function swapExactTokensForTokensSupportingFeeOnTransferTokens, which triggered the _handleSellTax function and subsequently _executeBurnFromLP to burn a massive amount of PGNLZ tokens from the liquidity pool.

QWhat was the root cause of the vulnerability in the PGNLZ project?

AThe vulnerability was caused by a deflationary economic model that lacked proper checks when deducting fees or burning tokens from the pool, allowing the attacker to manipulate the token's price through supply reduction.

QWhich protocols did the attacker use to obtain the initial funds for the attack?

AThe attacker used a flash loan from Moolah Protocol to borrow 1,059 BTCB, which was then collateralized on Venus Protocol to borrow 30,000,000 USDT.

Letture associate

Warsh Hearing Concludes: What Are the Notable Signals for the Crypto Industry?

The Senate Banking Committee held a confirmation hearing for Judy Shelton, a Federal Reserve nominee, who faced intense questioning regarding her ability to maintain the central bank's independence amid pressure from President Trump to lower interest rates. Shelton denied any pre-arranged commitments on rate cuts and emphasized her independence, though Democrats remained skeptical, citing contradictions with Trump's public statements. Shelton characterized post-pandemic inflation as a major policy failure and called for a "regime change" in the Fed’s approach, including reforms to inflation measurement and communication strategies. She criticized the current practice of Fed officials frequently signaling future rate moves and did not commit to maintaining post-meeting press conferences, suggesting potential reductions in transparency. Regarding crypto markets, Shelton’s extensive investments in digital asset companies—including Solana, DeFi, and blockchain infrastructure—were noted, though she has pledged to divest these holdings due to ethics rules. Her familiarity with the crypto industry and deregulatory leanings may signal a more open, though cautious, stance toward digital assets. However, concerns were raised about potential conflicts of interest, especially given Trump family involvement in crypto-financial ventures. The timing of her confirmation remains uncertain, pending a Justice Department investigation into current Chair Powell. Shelton’s potential leadership could lead to a more hawkish, productivity-focused Fed with tighter policy communication—factors that may significantly influence liquidity conditions and macro narratives for crypto markets.

marsbit4 h fa

Warsh Hearing Concludes: What Are the Notable Signals for the Crypto Industry?

marsbit4 h fa

Trading

Spot
Futures

Articoli Popolari

Cosa è $WELL

WELL3, $$WELL: Rivoluzionare la Salute e il Benessere con DePIN e AI Introduzione Nel panorama in rapida evoluzione della tecnologia digitale, il settore della salute e del benessere si trova in prima linea nell'innovazione, cercando di migliorare la cura dei pazienti e promuovere stili di vita più sani. Un attore rivoluzionario in questo dominio è WELL3, un progetto pionieristico Web3 che cerca di rivoluzionare il modo in cui gli individui interagiscono con la propria salute. Sfruttando tecnologie come il Decentralized Physical Infrastructure Network (DePIN), l'Identità Decentralizzata (DID) e l'Intelligenza Artificiale (AI), WELL3 mira a favorire percorsi di salute sicuri e potenziati dai dati. Questo articolo completo approfondisce gli aspetti fondamentali di WELL3, $$WELL, esplorando le sue funzionalità, i creatori, gli investitori e le caratteristiche uniche. Cos'è WELL3, $$WELL? WELL3 funge da piattaforma innovativa destinata a ridefinire l'approccio verso la salute e il benessere. Focalizzato sull'integrazione di DePIN e DID insieme ai sistemi AI, il progetto è progettato per creare esperienze utente personalizzate garantendo nel contempo la sicurezza e la privacy dei dati sanitari degli individui. Con un numero impressionante di oltre un milione di utenti pre-registrati, la missione principale di WELL3 ruota attorno al miglioramento del benessere attraverso percorsi di salute sicuri e basati sui dati. Nel suo nucleo, WELL3 utilizza tecnologie avanzate della blockchain per garantire che gli utenti abbiano il completo controllo delle proprie informazioni personali. Questo progetto affronta non solo le sfide della sicurezza dei dati e dell'accessibilità, ma aspira anche a creare una comunità vibrante connessa da un impegno condiviso verso una salute migliore. Caratteristiche Chiave di WELL3: DePIN e DID: Queste tecnologie consentono una proprietà sicura e un'autenticazione dei dati, dando agli utenti pieno controllo delle proprie informazioni. Integrazione AI: Utilizzando analisi AI, WELL3 offre approfondimenti e soluzioni personalizzate, adattate ai bisogni di salute individuali. Coinvolgimento della Comunità: Facilita un ambiente di supporto in cui gli utenti possono connettersi, condividere esperienze e motivarsi a vicenda verso uno stile di vita più sano. Creatore di WELL3, $$WELL L'identità del creatore di WELL3 rimane non specificata nelle informazioni disponibili. Man mano che il progetto progredisce, potrebbero emergere ulteriori dettagli, facendo luce sulle menti visionarie dietro questa iniziativa trasformativa. Investitori di WELL3, $$WELL WELL3 ha ottenuto supporto da una miriade di influenti enti di investimento, evidenziando la sua credibilità e potenziale nel settore della salute e del benessere. Tra gli investitori notevoli ci sono: Animoca Brands AWS Samsung The Spartan Group Blocore Fenbushi Capital Newman Group Soul Capital XY Finance Lumoz Il sostegno di queste organizzazioni consolidate dimostra una forte fiducia nella missione di WELL3, fornendole le risorse necessarie per innovare ed espandere la propria offerta. Come Funziona WELL3, $$WELL? WELL3 opera mescolando tecnologie all'avanguardia in un framework multichain, garantendo un'esperienza utente fluida e innovativa. Di seguito sono riportati alcuni fattori che posizionano in modo unico WELL3 nel mercato del benessere: 1. Proprietà Sicura dei Dati Con l'integrazione di DePIN e DID, gli utenti possono mantenere il completo controllo delle proprie informazioni sanitarie personali. Questo livello di sicurezza è fondamentale nell'era digitale odierna, dove le violazioni dei dati e l'accesso non autorizzato sono comuni. Attraverso WELL3, la proprietà dei dati è decentralizzata, consentendo agli utenti di gestire proattivamente le proprie informazioni. 2. Personalizzazione tramite AI WELL3 implementa analisi guidate dall'AI per fornire agli utenti approfondimenti sanitari su misura. Sfruttando il potere dell'AI, la piattaforma può offrire raccomandazioni e soluzioni individualizzate, incoraggiando gli utenti a raggiungere i propri obiettivi di salute in modo più efficace. 3. Framework Multichain Il progetto WELL3 è progettato per operare su più piattaforme blockchain, tra cui Bitcoin, Ethereum, Polygon, Solana, Blast e TON. Questa capacità multichain garantisce che gli utenti possano interagire con la piattaforma senza soluzione di continuità su diverse reti, migliorando accessibilità e usabilità. 4. Token WELL Al centro dell'ecosistema WELL3 c'è il Token WELL, che svolge funzioni multiple tra cui utilità, governance e ricompense. Il token consente la partecipazione nell'ecosistema, supporta la condivisione dei dati sanitari e incentiva gli utenti in base al loro coinvolgimento con la piattaforma. Timeline di WELL3, $$WELL La traiettoria di WELL3 mostra traguardi significativi nel suo sviluppo, ognuno contribuendo al successo complessivo del progetto. Ecco una breve timeline degli eventi critici nella storia di WELL3: 10 Febbraio 2024: WELL3 ha lanciato il proprio progetto NFT, raggiungendo rapidamente la prominenza come la più grande collezione NFT sulla catena opBNB con oltre 324.000 proprietari e raggiungendo 8 milioni di NFT creati entro il 27 Aprile 2024. Vendita Pubblica: Il progetto ha raggiunto un valore totale bloccato (TVL) straordinario di circa 15.237,2 ETH in soli sette giorni, indicando un forte interesse e sostegno del mercato. Lancio del WELL ID: La piattaforma ha visto oltre 900.000 utenti registrarsi per il WELL ID e la relativa whitelist NFT Ring, segnando una fase di adozione significativa all'interno dell'ecosistema. Sviluppo di Partnership: WELL3 ha stabilito partnership con enti leader tra cui Animoca Brands, AWS, Samsung e altri per migliorare il proprio ecosistema ed espandere la propria portata. Volume di Transazioni: WELL3 ha facilitato oltre 17 milioni di dollari in transazioni, riflettendo la sua crescente utilità e impegno all'interno della comunità della salute e del benessere. Punti Chiave su WELL3, $$WELL Come iniziativa progressista che si sposta verso il mercato del benessere, WELL3 ha identificato diversi elementi vitali che contribuiranno al suo continuo successo. Ecco alcuni punti chiave da notare: Tokenomics Il token $$WELL ha un'offerta massima di 42 miliardi, con un significativo 71% destinato a iniziative comunitarie. Questa strategia di distribuzione enfatizza l'impegno del progetto verso la propria base utenti e la sostenibilità a lungo termine. Periodo di Lock-Up Per garantire stabilità all'interno dell'ecosistema, i token vengono rilasciati in tranche nel corso di un periodo di 24 mesi, promuovendo fiducia e sicurezza tra gli utenti. Sviluppo dell'Ecosistema La visione di WELL3 si estende verso la creazione di un ecosistema completo e sostenibile per incoraggiare il coinvolgimento della comunità, comportamenti orientati alla salute e soluzioni digitali che rispondono ai bisogni pressanti del settore del benessere. Adattamento al Mercato Il settore del benessere, valutato 5,6 trilioni di dollari, presenta un'opportunità lucrativa che WELL3 mira a sfruttare. Con un tasso di crescita annuale previsto tra 5-10%, il progetto è posizionato in modo ideale in mezzo a una crescente tendenza verso uno stile di vita consapevole della salute. Dispositivi Indossabili Introducendo il WELL3 Ring, un dispositivo indossabile incentivato tramite crypto, si allinea alla crescente domanda di dati sanitari personalizzati. Questo dispositivo non solo migliora l'esperienza dell'utente, ma ridefinisce anche cosa significa essere coinvolti nella propria salute nel contesto del Web3. Conclusione WELL3 rappresenta un significativo progresso nell'integrazione della tecnologia blockchain all'interno del settore della salute e del benessere. Affrontando questioni cruciali riguardo alla proprietà dei dati, personalizzazione e coinvolgimento della comunità, questa piattaforma innovativa offre una soluzione lungimirante per migliorare il benessere individuale. Con un forte sostegno da parte di investitori notevoli e un impegno verso tecnologie pionieristiche, WELL3 è pronta a lasciare un'impronta duratura nel panorama del benessere. Per coloro che cercano di navigare nella complessità della salute nell'era digitale, WELL3 è sicuramente qualcosa da tenere d'occhio mentre continua a evolversi e crescere.

50 Totale visualizzazioniPubblicato il 2024.07.14Aggiornato il 2024.12.03

Cosa è $WELL

Come comprare WELL

Benvenuto in HTX.com! Abbiamo reso l'acquisto di Moonwell Artemis (WELL) semplice e conveniente. Segui la nostra guida passo passo per intraprendere il tuo viaggio nel mondo delle criptovalute.Step 1: Crea il tuo Account HTXUsa la tua email o numero di telefono per registrarti il tuo account gratuito su HTX. Vivi un'esperienza facile e sblocca tutte le funzionalità,Crea il mio accountStep 2: Vai in Acquista crypto e seleziona il tuo metodo di pagamentoCarta di credito/debito: utilizza la tua Visa o Mastercard per acquistare immediatamente Moonwell ArtemisWELL.Bilancio: Usa i fondi dal bilancio del tuo account HTX per fare trading senza problemi.Terze parti: abbiamo aggiunto metodi di pagamento molto utilizzati come Google Pay e Apple Pay per maggiore comodità.P2P: Fai trading direttamente con altri utenti HTX.Over-the-Counter (OTC): Offriamo servizi su misura e tassi di cambio competitivi per i trader.Step 3: Conserva Moonwell Artemis (WELL)Dopo aver acquistato Moonwell Artemis (WELL), conserva nel tuo account HTX. In alternativa, puoi inviare tramite trasferimento blockchain o scambiare per altre criptovalute.Step 4: Scambia Moonwell Artemis (WELL)Scambia facilmente Moonwell Artemis (WELL) nel mercato spot di HTX. Accedi al tuo account, seleziona la tua coppia di trading, esegui le tue operazioni e monitora in tempo reale. Offriamo un'esperienza user-friendly sia per chi ha appena iniziato che per i trader più esperti.

92 Totale visualizzazioniPubblicato il 2024.12.10Aggiornato il 2025.03.21

Come comprare WELL

Discussioni

Benvenuto nella Community HTX. Qui puoi rimanere informato sugli ultimi sviluppi della piattaforma e accedere ad approfondimenti esperti sul mercato. Le opinioni degli utenti sul prezzo di WELL WELL sono presentate come di seguito.

活动图片