A Well-Designed "Self-Detonation": Analysis of the PGNLZ Attack Incident

marsbit2026-01-28 tarihinde yayınlandı2026-01-28 tarihinde güncellendi

Özet

On January 27, 2026, an attacker executed a well-orchestrated exploit against the PGNLZ token on BNB Smart Chain, resulting in approximately $100k in losses. The attacker initiated a flash loan of 1,059 BTCB from Moolah Protocol, used it as collateral on Venus Protocol to borrow 30 million USDT, and then exchanged 23,337,952 USDT for 982,506 PGNLZ on PancakeSwap. These PGNLZ tokens were intentionally burned (sent to a dead address), drastically reducing the liquidity pool supply. This manipulation caused the price of PGNLZ to surge from approximately $0.10 to over $5,528 per token. The attacker then invoked a fee-on-transfer function, triggering a built-in burn mechanism (_executeBurnFromLP) that further depleted the pool, leaving only a minuscule amount of PGNLZ and artificially inflating the price to an extreme 40 billion times its original value. Finally, the attacker drained the liquidity pool, repaid the flash loan, and netted a significant profit. The root cause was identified as a flawed deflationary economic model with insufficient validation during fee processing and LP burns, allowing price manipulation. The incident underscores the importance of rigorous economic model design and multi-audit practices before contract deployment.

Background Introduction

On January 27, 2026, we monitored an attack on the PGNLZ project on the BNB Smart Chain:

https://bscscan.com/tx/0xa7488ff4d6a85bf19994748837713c710650378383530ae709aec628023cd7cc

After detailed analysis, the attacker continuously launched attacks against the PGNLZ project on January 27, 2026, resulting in a loss of approximately 100k USD.

Attack and Incident Analysis

The attacker first borrowed 1,059 BTCB via a flash loan from Moolah Protocol,

Subsequently, they collateralized the 1,059 BTCB on Venus Protocol to borrow 30,000,000 USDT.

Next, the attacker called the function `swapTokensForExactTokens` on PancakeSwap, using 23,337,952 USDT to exchange for 982,506 PGNLZ, but then burned these PGNLZ (sent them to 0xdead).

Before the swap, the PancakeSwap Pool contained 100,901 USDT and 982,506 PGNLZ, making the price of PGNLZ 1 PGNLZ = 0.1 USDT. After the swap, the PancakeSwap Pool had 23,438,853 USDT and 4,240 PGNLZ remaining, making the price of PGNLZ 1 PGNLZ = 5,528 USDT.

Subsequently, the attacker called the function `swapExactTokensForTokensSupportingFeeOnTransferTokens`. This function primarily supports Fee-On-Transfer Tokens, i.e., tokens that incur fees on transactions. PGNLZ uses `_update` to handle transaction fees. The specific call chain is: transferFrom -> _spendAllowance -> _transfer -> _update

Since this was a sell, `_handleSellTax` was called.

Let's look at how `_executeBurnFromLP` is implemented.

It can be seen that `_executeBurnFromLP` uses `_update` to burn the quantity of PGNLZ specified by `pendingBurnFromLP`. In the previous block, `pendingBurnFromLP` was queried as 4,240,113,074,578,781,194,669.

After the burn, the LP Pool was left with only 0.00000001 PGNLZ, making the price 1 PGNLZ = 234,385,300,000,000 USDT, a 40 Billion-fold increase.

Finally, the attacker drained the LP Pool, repaid the flash loan, and profited 100k USDT.

Summary

The cause of this vulnerability was the deflationary economic model, which lacked validation during fee deductions or LP Pool burns. This allowed the attacker to manipulate the token's price using its deflationary characteristics. It is recommended that project teams conduct thorough multi-party validation when designing economic models and code execution logic. Before contract deployment, opt for cross-audits from multiple auditing firms during the audit phase.

İlgili Sorular

QWhat was the total financial loss caused by the attack on the PGNLZ project?

AThe attack resulted in a loss of approximately 100,000 USD.

QHow did the attacker manipulate the price of PGNLZ token during the attack?

AThe attacker first swapped a large amount of USDT for PGNLZ and burned the tokens, drastically reducing the supply in the liquidity pool. This caused the price of PGNLZ to skyrocket by 40 billion times, from 0.1 USDT to 234,385,300,000,000 USDT per token.

QWhich function did the attacker exploit to handle the fee-on-transfer mechanism during the sell operation?

AThe attacker exploited the function swapExactTokensForTokensSupportingFeeOnTransferTokens, which triggered the _handleSellTax function and subsequently _executeBurnFromLP to burn a massive amount of PGNLZ tokens from the liquidity pool.

QWhat was the root cause of the vulnerability in the PGNLZ project?

AThe vulnerability was caused by a deflationary economic model that lacked proper checks when deducting fees or burning tokens from the pool, allowing the attacker to manipulate the token's price through supply reduction.

QWhich protocols did the attacker use to obtain the initial funds for the attack?

AThe attacker used a flash loan from Moolah Protocol to borrow 1,059 BTCB, which was then collateralized on Venus Protocol to borrow 30,000,000 USDT.

İlgili Okumalar

XRP And Bitcoin Investors Are ‘Trapped’, But Is There A Way Out?

Crypto analyst RWA Investor claims that both XRP and Bitcoin short sellers are currently 'trapped.' He outlines a potential roadmap for XRP to reach a new all-time high of $7. The prediction involves XRP first breaking the $1.50-$1.60 range to rally to $2-$3, followed by a major pullback. A third wave is then expected to emerge, culminating in a final bear trap before a massive short squeeze propels the price to the $7 target. The analyst attributes this anticipated rally to Federal Reserve rate cuts and quantitative easing. Separately, analyst CasiTrades suggests XRP move to the $1.50-$1.53 range is still possible if Bitcoin approaches $79,900, provided XRP holds the $1.39 support level.

bitcoinist1 saat önce

XRP And Bitcoin Investors Are ‘Trapped’, But Is There A Way Out?

bitcoinist1 saat önce

Kelp DAO Hack: Aave DAO Proposes To Contribute 25,000 ETH To Recovery Efforts

Aave DAO has proposed contributing 25,000 ETH from its treasury to a coordinated recovery effort following a major exploit on Kelp DAO. The attack, which occurred on April 18, targeted Kelp's rsETH Ethereum LayerZero adapter, resulting in a loss of approximately 163,183 ETH. Through frozen assets, recovered funds, and expected liquidations, over half the deficit has been covered, but a gap of roughly 75,081 ETH remains. A coalition named "DeFi United," including pledges from EtherFi, Lido, Ethena, and a credit line from Mantle, is mobilizing to restore the system. Aave's anchored contribution is a key part of this effort to reintroduce liquidity and fully back the affected tokens.

bitcoinist4 saat önce

Kelp DAO Hack: Aave DAO Proposes To Contribute 25,000 ETH To Recovery Efforts

bitcoinist4 saat önce

Who Exactly Is Persistently Funding the Crypto Bear Market?

Despite a significant crypto market downturn in Q1 2026, with Bitcoin falling over 25% and Ethereum down 35%, institutional investment continued to flow in. Key buyers included corporate treasuries like Strategy (MicroStrategy), which aggressively added over $10 billion in Bitcoin, sovereign wealth funds such as Mubadala, and major banks launching new crypto ETFs. Over 26 new single-asset crypto ETFs were filed or launched under new SEC rules, including products from BlackRock and Morgan Stanley. VC funding showed concentration, with total funding around $5-6.8 billion but deal count dropping 49%. Three major deals—BVNK ($1.8B), Kalshi ($1B), and Polymarket ($600M)—accounted for half the quarter’s funding. Investment shifted toward payment/stablecoin and prediction market sectors, while DeFi and NFT/gaming funding declined sharply. The market is bifurcated: long-term holders and institutions are accumulating, while tactical hedge funds and miners are selling. The U.S. strategic Bitcoin reserve remains unallocated, leaving corporate and sovereign buyers as the main drivers during this bear phase.

Odaily星球日报4 saat önce

Who Exactly Is Persistently Funding the Crypto Bear Market?

Odaily星球日报4 saat önce

Weekly Token Unlocks: SUI Unlocks $42 Million Worth of Tokens

This week's major token unlocks feature SUI, EigenLayer, and Jupiter, with a total value exceeding $42 million. SUI leads with an unlock valued at approximately $42 million. EigenLayer, a protocol introducing restaking on Ethereum, will unlock 36.85 million tokens worth roughly $6.67 million. It allows users to restake their ETH to extend economic security to other applications. Jupiter, a leading DEX aggregator on Solana, will unlock 53.35 million tokens valued at about $9.23 million. The platform offers various products including DCA, limit orders, and perpetual trading. Release schedules for the token unlocks are provided.

marsbit5 saat önce

Weekly Token Unlocks: SUI Unlocks $42 Million Worth of Tokens

marsbit5 saat önce

When Is The Next FOMC Meeting And What Are The Expectations For Crypto?

The next FOMC meeting is scheduled for April 29, 2026, and is expected to result in no change to the current interest rate of 3.5-3.75%. According to the FedWatch Tool, there is a 99.5% probability rates will remain unchanged, a 0.5% chance of a hike, and a 0% chance of a cut. Consequently, the crypto market is anticipated to see little to no significant movement following the announcement. Historically, FOMC decisions heavily influence crypto: hawkish stances (rate hikes) often cause market declines, while dovish stances (rate cuts) typically trigger rallies. A neutral decision, like the one expected, usually allows the market to continue its existing trend without major disruption.

bitcoinist6 saat önce

When Is The Next FOMC Meeting And What Are The Expectations For Crypto?

bitcoinist6 saat önce

İşlemler

Spot

Futures

Popüler Makaleler

$WELL Nedir

WELL3, $$WELL: DePIN ve AI ile Sağlık ve Refahı Devrim Niteliğinde Yenilemek Giriş Hızla gelişen dijital teknoloji alanında, sağlık ve wellness sektörü yeniliğin ön saflarında yer almakta, hasta bakımını geliştirmeye ve daha sağlıklı yaşam tarzlarını teşvik etmeye çalışmaktadır. Bu alandaki çığır açan bir oyuncu WELL3'tür; bireylerin sağlıklarıyla etkileşim biçimlerini devrim niteliğinde değiştirmeyi hedefleyen öncü bir Web3 projesidir. Dağıtık Fiziksel Altyapı Ağı (DePIN), Dağıtık Kimlik (DID) ve Yapay Zeka (AI) gibi teknolojileri kullanarak, WELL3 güvenli, veri destekli sağlık yolculuklarını teşvik etmeyi amaçlamaktadır. Bu kapsamlı makale, WELL3'ün, $$WELL'in temel bileşenlerine derinlemesine dalarak işlevsellikleri, yaratıcıları, yatırımcıları ve benzersiz özelliklerini keşfetmektedir. WELL3, $$WELL Nedir? WELL3, sağlık ve refah yaklaşımını yeniden tanımlamayı hedefleyen yenilikçi bir platformdur. DePIN ve DID'yi AI sistemleriyle entegre etmeye odaklanan proje, bireylerin sağlık verilerinin güvenliğini ve gizliliğini sağlarken kişiselleştirilmiş kullanıcı deneyimleri oluşturmak için tasarlanmıştır. Bir milyondan fazla ön kayıtlı kullanıcı ile WELL3'ün ana misyonu, güvenli, veri odaklı sağlık yolculukları aracılığıyla refahı artırmaktır. WELL3'ün temelinde, kullanıcıların kişisel bilgileri üzerinde tam kontrol sahibi olmasını sağlamak için gelişmiş blockchain teknolojileri kullanılmaktadır. Bu proje sadece veri güvenliği ve erişilebilirlik sorunlarını ele almakla kalmaz, aynı zamanda daha iyi sağlık için ortak bir taahhütte bulunan canlı bir topluluk yaratmayı hedefler. WELL3'ün Ana Özellikleri: DePIN ve DID: Bu teknolojiler, verilerin güvenli sahipliğini ve kimlik doğrulamasını sağlamakta, kullanıcılara bilgileri üzerinde tam kontrol vermektedir. AI Entegrasyonu: AI analitiği kullanarak, WELL3 bireysel sağlık ihtiyaçlarına uygun kişiselleştirilmiş içgörüler ve çözümler sunmaktadır. Topluluk Katılımı: Kullanıcıların bağ kurabileceği, deneyimlerini paylaşabileceği ve daha sağlıklı yaşam için birbirlerini motive edebileceği destekleyici bir ortam sağlar. WELL3'ün, $$WELL'in Yaratıcısı WELL3'ün yaratıcılarının kimliği mevcut bilgilerde belirtilmemiştir. Proje ilerledikçe, bu dönüştürücü girişimin arkasındaki yenilikçi zihinlere ışık tutacak daha fazla detay ortaya çıkabilir. WELL3'ün, $$WELL'in Yatırımcıları WELL3, sağlık ve wellness alanındaki güvenilirliğini ve potansiyelini vurgulayan birçok etkili yatırım kurumunun desteğini kazanmıştır. Öne çıkan yatırımcılar arasında şunlar yer almaktadır: Animoca Brands AWS Samsung The Spartan Group Blocore Fenbushi Capital Newman Group Soul Capital XY Finance Lumoz Bu köklü kuruluşların desteği, WELL3'ün misyonuna güçlü bir inanç sergileyerek, yenilik yapması ve sunumlarını genişletmesi için gerekli kaynakları sağlamaktadır. WELL3, $$WELL Nasıl Çalışır? WELL3, kesintisiz ve yenilikçi bir kullanıcı deneyimi sağlamak için son teknoloji çözümleri çok zincirli bir çerçevede birleştirir. WELL3'ü wellness pazarında benzersiz kılan bazı faktörler aşağıda sıralanmıştır: 1. Güvenli Veri Sahipliği DePIN ve DID entegrasyonu ile kullanıcılar, kişisel sağlık bilgileri üzerinde tam kontrol sahibi olabilmektedir. Bu güvenlik katmanı, veri ihlalleri ve yetkisiz erişimlerin yaygın olduğu günümüz dijital çağında son derece önemlidir. WELL3 aracılığıyla veri sahipliği merkeziyetsizleşir, bu da kullanıcıların bilgilerini proaktif bir şekilde yönetmesini sağlar. 2. AI ile Kişiselleştirme WELL3, kullanıcılarına özel sağlık içgörüleri sunmak için AI destekli analizler gerçekleştirmektedir. AI'nin gücünden yararlanarak, platform bireysel öneriler ve çözümler sunmakta, kullanıcıların sağlık hedeflerine daha etkili bir biçimde ulaşmalarını teşvik etmektedir. 3. Çok Zincirli Çerçeve WELL3 projesi, Bitcoin, Ethereum, Polygon, Solana, Blast ve TON gibi birden fazla blockchain platformu üzerinde çalışacak şekilde tasarlanmıştır. Bu çok zincirli kapasite, kullanıcıların platformla farklı ağlar arasında sorunsuz bir şekilde etkileşimde bulunmalarını sağlamakta, erişilebilirliği ve kullanılabilirliği artırmaktadır. 4. WELL Token WELL3 ekosisteminin merkezinde, çeşitli amaçlar için kullanılan WELL Token bulunmaktadır; bunlar arasında fayda, yönetişim ve ödüller yer almaktadır. Token, ekosisteme katılımı sağlar, sağlık verisi paylaşımını destekler ve kullanıcıları platformla olan etkileşimlerine dayalı olarak ödüllendirir. WELL3'ün, $$WELL'in Zaman Çizelgesi WELL3'ün gelişim süreci, her biri projenin genel başarısına katkıda bulunan önemli aşamaları sergilemektedir. WELL3'ün tarihindeki kritik olaylara dair kısa bir zaman çizelgesi aşağıda sunulmuştur: 10 Şubat 2024: WELL3, NFT projesini başlattı ve 324,000'den fazla sahibi ile opBNB ağında en büyük NFT koleksiyonu olarak ön plana çıkmaya başladı. 27 Nisan 2024'e kadar 8 milyon NFT üretildi. Kamu Satışı: Proje, sadece yedi gün içinde yaklaşık 15,237.2 ETH'lik etkileyici bir toplam değer kilidi (TVL) başarısı gösterdi, bu da piyasanın güçlü ilgisini ve desteğini gösterir. WELL ID Lansmanı: Platform, WELL ID ve ilgili NFT Ring beyaz listesinin 900,000'den fazla kullanıcı tarafından kaydedildiğini görerek ekosistem içinde önemli bir benimseme aşamasını işaret etti. Ortaklık Geliştirme: WELL3, ekosistemini geliştirmek ve erişimini genişletmek için Animoca Brands, AWS, Samsung ve diğer önde gelen kuruluşlarla ortaklıklar kurdu. İşlem Hacmi: WELL3, sağlık ve wellness topluluğunda büyüyen faydasını ve katılımını yansıtan 17 milyon dolardan fazla işlem gerçekleştirdi. WELL3'ün, $$WELL'in Ana Noktaları Refah pazarına doğru kaydırılan ilerici bir girişim olarak WELL3, sürekli başarısına katkıda bulunacak birkaç kritik unsur belirlemiştir. İşte dikkate alınması gereken bazı temel noktalar: Tokenomik $$WELL tokeninin maksimum arzı 42 milyar olup, bunun önemli bir kısmı %71 topluluk girişimleri için ayrılmıştır. Bu dağıtım stratejisi, projenin kullanıcı tabanına ve uzun vadeli sürdürülebilirliğine olan bağlılığını vurgulamaktadır. Kilitlenme Süresi Ekosistemde istikrar sağlamak amacıyla tokenler, 24 aylık bir kilitlenme süresi boyunca partiler halinde serbest bırakılır; bu da kullanıcılar arasında güven ve güvenilirlik sunar. Ekosistem Gelişimi WELL3'ün vizyonu, güçlü topluluk katılımını teşvik eden, sağlık artırıcı davranışlar ve wellness alanındaki acil ihtiyaçlara yanıt veren dijital çözümler içeren kapsamlı ve sürdürülebilir bir ekosistem yaratmayı kapsamaktadır. Pazar Uyumlu 5.6 trilyon dolarlık bir değere sahip wellness endüstrisi, WELL3'ün hedeflemesini amaçladığı kârlı bir fırsat sunmaktadır. %5-10'luk bir yıllık büyüme oranı beklenmekte olup, proje sağlıklı ve bilinçli yaşam trendinin yükseldiği bir ortamda mükemmel bir şekilde konumlanmaktadır. Giyilebilirler WELL3 Yüzüğü, kişiselleştirilmiş sağlık verileri için artan talebe yanıt veren kripto teşvikli bir giyilebilir tekniktir. Bu cihaz, yalnızca kullanıcı deneyimini artırmakla kalmaz, ayrıca Web3 bağlamında bireylerin sağlıklarıyla etkileşimde bulunma biçimlerini yeniden tanımlamaktadır. Sonuç WELL3, sağlık ve wellness sektöründe blockchain teknolojisinin entegrasyonu açısından önemli bir ilerlemeyi temsil etmektedir. Veri sahipliği, kişiselleştirme ve topluluk katılımı etrafındaki önemli sorunları ele alarak, bu yenilikçi platform bireysel refahı artırmak için ileri görüşlü bir çözüm sunmaktadır. Kayda değer yatırımcılardan güçlü bir destekle ve yenilikçi teknolojilere olan bağlılığı ile WELL3, wellness alanında kalıcı bir etki yaratmaya hazırlanıyor. Dijital çağda sağlığın karmaşıklıklarını aşmak isteyenler için, WELL3'ün evrim geçirmeye ve büyümeye devam ezümü kesinlikle izlenmesi gereken bir platformdur.

32 Toplam GörüntülenmeYayınlanma 2024.07.14Güncellenme 2024.12.03

WELL Nasıl Satın Alınır

HTX.com’a hoş geldiniz! Moonwell Artemis (WELL) satın alma işlemlerini basit ve kullanışlı bir hâle getirdik. Adım adım açıkladığımız rehberimizi takip ederek kripto yolculuğunuza başlayın. 1. Adım: HTX Hesabınızı OluşturunHTX'te ücretsiz bir hesap açmak için e-posta adresinizi veya telefon numaranızı kullanın. Sorunsuzca kaydolun ve tüm özelliklerin kilidini açın. Hesabımı Aç2. Adım: Kripto Satın Al Bölümüne Gidin ve Ödeme Yönteminizi SeçinKredi/Banka Kartı: Visa veya Mastercard'ınızı kullanarak anında Moonwell Artemis (WELL) satın alın.Bakiye: Sorunsuz bir şekilde işlem yapmak için HTX hesap bakiyenizdeki fonları kullanın.Üçüncü Taraflar: Kullanımı kolaylaştırmak için Google Pay ve Apple Pay gibi popüler ödeme yöntemlerini ekledik.P2P: HTX'teki diğer kullanıcılarla doğrudan işlem yapın.Borsa Dışı (OTC): Yatırımcılar için kişiye özel hizmetler ve rekabetçi döviz kurları sunuyoruz.3. Adım: Moonwell Artemis (WELL) Varlıklarınızı SaklayınMoonwell Artemis (WELL) satın aldıktan sonra HTX hesabınızda saklayın. Alternatif olarak, blok zinciri transferi yoluyla başka bir yere gönderebilir veya diğer kripto para birimlerini takas etmek için kullanabilirsiniz.4. Adım: Moonwell Artemis (WELL) Varlıklarınızla İşlem YapınHTX'in spot piyasasında Moonwell Artemis (WELL) ile kolayca işlemler yapın.Hesabınıza erişin, işlem çiftinizi seçin, işlemlerinizi gerçekleştirin ve gerçek zamanlı olarak izleyin. Hem yeni başlayanlar hem de deneyimli yatırımcılar için kullanıcı dostu bir deneyim sunuyoruz.

93 Toplam GörüntülenmeYayınlanma 2024.12.10Güncellenme 2025.03.21

Tartışmalar

HTX Topluluğuna hoş geldiniz. Burada, en son platform gelişmeleri hakkında bilgi sahibi olabilir ve profesyonel piyasa görüşlerine erişebilirsiniz. Kullanıcıların WELL (WELL) fiyatı hakkındaki görüşleri aşağıda sunulmaktadır.