Một Vụ "Tự Nổ" Được Thiết Kế Tinh Vi: Phân Tích Sự Kiện Tấn Công PGNLZ

marsbitОпубліковано о 2026-01-28Востаннє оновлено о 2026-01-28

Анотація

Phân tích sự kiện tấn công PGNLZ: Vào ngày 27/1/2026, tin tặc đã khai thác lỗ hổng trong dự án PGNLZ trên BNB Smart Chain, gây thiệt hại khoảng 100.000 USD. Tin tặc sử dụng flash loan từ Moolah Protocol để vay 1.059 BTCB, sau đó thế chấp trên Venus Protocol để vay 30.000.000 USDT. Tiếp theo, họ chuyển đổi 23.337.952 USDT lấy 982.506 PGNLZ trên PancakeSwap rồi chuyển số token này vào ví 0xdead (hủy token). Hành động này làm thay đổi tỷ lệ trong pool, đẩy giá PGNLZ từ 0,1 USDT lên 5.528 USDT. Tin tặc sau đó gọi hàm swapExactTokensForTokensSupportingFeeOnTransferTokens, kích hoạt cơ chế tính phí _handleSellTax và _executeBurnFromLP, khiến LP Pool bị đốt gần như toàn bộ token (chỉ còn 0,00000001 PGNLZ). Giá token tăng vọt 40 tỷ lần, cho phép tin tặc rút toàn bộ pool, trả lại flash loan và thu lợi 100.000 USD. Nguyên nhân lỗi đến từ mô hình kinh tế giảm phát không được kiểm tra kỹ, cho phép thao túng giá. Khuyến nghị dự án nên kiểm tra chéo hợp đồng với nhiều đơn vị audit trước khi triển khai.

Giới Thiệu Bối Cảnh

Vào ngày 27 tháng 1 năm 2026, chúng tôi đã giám sát được một sự kiện tấn công nhắm vào dự án PGNLZ trên BNB Smart Chain:

https://bscscan.com/tx/0xa7488ff4d6a85bf19994748837713c710650378383530ae709aec628023cd7cc

Sau khi phân tích chi tiết, kẻ tấn công đã liên tục phát động các cuộc tấn công vào dự án PGNLZ vào ngày 27 tháng 1 năm 2026, vụ tấn công đã gây thiệt hại khoảng 100.000 USD.

Phân Tích Sự Kiện và Cuộc Tấn Công

Kẻ tấn công đầu tiên đã vay flash loan 1.059 BTCB từ Moolah Protocol,

Sau đó, thế chấp 1.059 BTCB trong Venus Protocol, để vay 30.000.000 USDT.

Tiếp theo, kẻ tấn công đã gọi hàm swapTokensForExactTokens trên PancakeSwap, sử dụng 23.337.952 USDT để đổi lấy 982.506 PGNLZ, nhưng lại đốt (chuyển đến 0xdead) số PGNLZ này.

Trước khi hoán đổi, PancakeSwap Pool có 100.901 USDT và 982.506 PGNLZ, lúc này giá PGNLZ là 1 PGNLZ = 0,1 USDT. Sau khi hoán đổi, PancakeSwap Pool còn lại 23.438.853 USDT và 4.240 PGNLZ, lúc này, giá PGNLZ là 1 PGNLZ = 5.528 USDT.

Sau đó, kẻ tấn công gọi hàm swapExactTokensForTokensSupportingFeeOnTransferTokens, hàm này chủ yếu hỗ trợ Token có phí chuyển khoản (Fee-On Transfer Token). PGNLZ sử dụng _update để xử lý phí giao dịch, chuỗi gọi cụ thể là: transferFrom -> _spendAllowance -> _transfer -> _update

Vì lần này là bán (sell), nên sẽ gọi đến _handleSellTax.

Chúng ta hãy xem _executeBurnFromLP được triển khai như thế nào,

Có thể thấy, _executeBurnFromLP sẽ sử dụng _update để đốt số lượng PGNLZ pendingBurnFromLP. Ở block trước đó, truy vấn được pendingBurnFromLP là 4.240.113.074.578.781.194.669.

Sau khi đốt, LP Pool chỉ còn lại 0,00000001 PGNLZ, lúc này 1 PGNLZ = 234.385.300.000.000 USDT, đã tăng 40 Tỷ lần.

Cuối cùng, kẻ tấn công đã rút cạn LP Pool, trả hết flash loan và thu lợi 100 nghìn USDT.

Tổng Kết

Nguyên nhân của lỗ hổng này là do mô hình kinh tế giảm phát (deflationary economic model), khi trừ phí hoặc Đốt LP Pool đã không được xác minh. Điều này dẫn đến việc kẻ tấn công lợi dụng đặc tính giảm phát để thao túng giá Token. Khuyến nghị các dự án nên xác minh đa chiều khi thiết kế mô hình kinh tế và logic vận hành mã, và khi kiểm toán hợp đồng trước khi triển khai, nên chọn nhiều công ty kiểm toán để kiểm tra chéo.

Пов'язані питання

QSự kiện tấn công PGNLZ xảy ra vào ngày nào và trên blockchain nào?

ASự kiện tấn công xảy ra vào ngày 27 tháng 1 năm 2026 trên mạng BNB Smart Chain.

QKẻ tấn công đã sử dụng phương pháp gì để có được số vốn ban đầu?

AKẻ tấn công đã sử dụng flash loan từ Moolah Protocol để vay 1.059 BTCB.

QHành động chính nào cho phép kẻ tấn công thao túng giá của token PGNLZ?

AKẻ tấn công đã đốt (burn) một lượng lớn token PGNLZ vào địa chỉ 0xdead, làm giảm nguồn cung trong pool một cách đột ngột và đẩy giá token lên cao.

QLỗ hổng chính trong hợp đồng thông minh của PGNLZ là gì?

ALỗ hổng nằm ở mô hình kinh tế giảm phát (deflationary economic model), cụ thể là việc tính phí hoặc đốt token từ LP Pool mà không có cơ chế xác minh phù hợp, cho phép kẻ tấn công thao túng giá.

QThiệt hại ước tính của vụ tấn công này là bao nhiêu?

ACuộc tấn công đã gây ra thiệt hại ước tính khoảng 100.000 USD.

Пов'язані матеріали

Netting $2.4 Million: These 9 Insider Addresses Knew the US-Iran War Best

On May 18th, Bubblemaps investigators disclosed the discovery of nine highly correlated anonymous accounts on Polymarket that netted over $2.4 million from prediction markets tied to US military actions, with a 98% win rate. The accounts focused almost exclusively on the 2026 US-Iran conflict, placing bets with uncanny precision days before key events like the "Operation Epic Fury" strike on February 28th, which eliminated Iran's Supreme Leader. Bubblemaps' analysis linked four core accounts—each profiting around $400k—and five others through synchronized timing, transaction patterns, and fund flows. The money moved through shared wallet networks, suggesting professional obfuscation. This case is six times larger than the earlier prosecution of US Army Sergeant Gannon Van Dyke for insider trading on Polymarket. While platforms like Polymarket have established AI monitoring and explicit rules against trading on stolen or confidential information, the incident has spurred controversial "insider copy-trading" services that help users follow high-success accounts, raising new regulatory questions.

marsbit32 хв тому

Netting $2.4 Million: These 9 Insider Addresses Knew the US-Iran War Best

marsbit32 хв тому

Morning Post | Michael Saylor Says This Week's Buy Was Bonds, Not Bitcoin; StablR Suffers Attack Losing Approximately $2.8 Million; US Congress Reintroduces Bitcoin Reserve Bill

This cryptocurrency industry digest covers key developments from May 25. MicroStrategy's Michael Saylor clarified the company purchased bonds, not Bitcoin, this week. In regulatory news, the US Congress reintroduced a Bitcoin reserve bill, with Republican backing aiming to accumulate 5% of global supply. The legal and audit firms for the collapsed FTX agreed to a $66 million settlement over fraud allegations. Several CFTC officials skeptical of prediction market oversight were reportedly suspended and forced out. On the security front, the StablR stablecoin was attacked and de-pegged, resulting in an estimated $2.8 million loss for the attacker. The Ethereum Foundation faced criticism, though a researcher defended its core protocol-building mission over influencing ETH's price. Market data from GMGN showed the top 24-hour trending meme tokens on ETH were HEX, SHIB, LINK, PEPE, and mUSD. On Solana, leaders were TROLL, neet, WORLDCUP, HANTA, and Buttcoin. Base chain's top tokens included TOSHI, KEYCAT, BRETT, CLANKER, and LUNA. Featured articles included an a16z analysis arguing tokenization, or real-world assets (RWA), is fundamentally transforming asset nature and financial systems, with the market growing tenfold to ~$34 billion in two years. Another piece deconstructed Hyperliquid's success through a five-layer financial stack framework, emphasizing the critical importance of building from a robust settlement layer upward.

链捕手1 год тому

Morning Post | Michael Saylor Says This Week's Buy Was Bonds, Not Bitcoin; StablR Suffers Attack Losing Approximately $2.8 Million; US Congress Reintroduces Bitcoin Reserve Bill

链捕手1 год тому

SuperEx's Mars Exploration Dream: Digital Currency is the Key to Unlocking Economic Exchanges in the Interstellar Era

SuperEx envisions digital currencies as the key to enabling economic exchange in the interstellar era. Inspired by humanity's enduring dream of space exploration, exemplified by Elon Musk’s Mars colonization plan and the UAE's Mars Science City project, SuperEx established a space fund to support such initiatives. The exchange positions itself not merely as a trading platform but as a contributor to humanity's future, claiming that user transactions help fuel the journey to Mars. The article argues that traditional sovereign currencies will be inadequate for interplanetary economies due to their limitations in free cross-border flow. In contrast, digital currencies, built on Web3.0 principles of decentralization, distributed ledgers, and smart contracts, possess the borderless, shared, and accessible attributes necessary for future interstellar trade. Examples like Bitcoin demonstrate this potential. SuperEx presents itself as the world's first Web3.0-based digital asset exchange, aiming to lay the groundwork for a future interstellar economic system. It reports over 10 million users, support for 1000+ trading pairs, and integration with a decentralized wallet (Super Wallet) for security. Its long-term goal is to evolve into a fully decentralized autonomous organization (DAO), with its existing SuperEx DAO already being one of the largest Web3.0 communities. Ultimately, SuperEx's vision is to create a free, borderless financial world, leveraging blockchain technology to empower individual value and freedom.

链捕手1 год тому

SuperEx's Mars Exploration Dream: Digital Currency is the Key to Unlocking Economic Exchanges in the Interstellar Era

链捕手1 год тому

Vitalik Finally Opens Up: ETH Is Ethereum's Most Important Product

In a recent statement, Ethereum co-founder Vitalik Buterin outlined his vision for the Ethereum Foundation's future direction. He stressed that Ethereum must not succumb to mainstream trends but instead must strive to be "impressive" by steadfastly upholding its core CROPS values: censorship resistance, openness, privacy, and security. Buterin clarified that the EF should not be seen as the "center" of Ethereum but as one specialized node among many, with a finite lifespan and resources. He highlighted that the EF holds only about 0.16% of all ETH, far less than foundations of other blockchains. Its renewed focus will be on tasks critical to CROPS that others are unlikely to undertake, even if this means narrowing its scope. Technically, Buterin argued that Ethereum's path to being impressive lies not in chasing maximal transaction speed but in excelling within the CROPS framework. Key technical goals include: building a provably bug-free Ethereum through AI-assisted formal verification; maintaining its unique hybrid consensus model for high liveness; and minimizing intermediaries in transaction submission to reduce systemic fragility. Buterin revealed that nearly 90% of his personal net worth is held in ETH, stating that "the highest-value 'product' of the Ethereum blockchain is the ETH asset." He acknowledged that supporting ETH's value requires work beyond the EF's mandate, necessitating collaboration with other ecosystem players. The future EF, according to Buterin, will be a more focused, opinionated, and enduring "small boat," dedicated to ensuring Ethereum delivers something meaningful to the world.

marsbit1 год тому

Vitalik Finally Opens Up: ETH Is Ethereum's Most Important Product

marsbit1 год тому

Vitalik Finally Speaks Out: ETH is the Most Important Product of Ethereum

Ethereum co-founder Vitalik Buterin outlines his personal vision for the future direction of the Ethereum Foundation (EF). He emphasizes that the EF should not cater to mainstream trends but must be "impressive" by steadfastly adhering to CROPS values: censorship-resistant, open, private, and secure. Buterin argues the EF, holding only about 0.16% of ETH, should not be Ethereum's center but a specialized node focused on critical, long-term tasks others might neglect. Its new role is to ensure Ethereum becomes deeply impressive in the CROPS dimension, not by chasing maximal transaction speed, but by pursuing ambitious technical goals: 1) A provably bug-free Ethereum via AI-assisted formal verification. 2) High-availability chain consensus combining BFT and Bitcoin-style resilience. 3) "Intermediary minimization" to reduce reliance on middlemen for transaction inclusion and user data. He states that Ethereum's highest-value "product" is the ETH asset itself, which these features support. Buterin reveals nearly 90% of his net worth is in ETH. The future EF will be a smaller, more opinionated, and longer-lasting organization dedicated to ensuring Ethereum delivers something meaningful to the world.

Odaily星球日报1 год тому

Vitalik Finally Speaks Out: ETH is the Most Important Product of Ethereum

Odaily星球日报1 год тому

Торгівля

Спот
Ф'ючерси

Популярні статті

Що таке $WELL

WELL3, $$WELL: Революція в Здоров'ї та Добробуті з DePIN та AI Вступ У швидко змінюваному світі цифрових технологій сектор здоров'я та добробуту займає передову позицію в інноваціях, прагнучи покращити догляд за пацієнтами та пропагувати здоровіші способи життя. У цьому домені визначним гравцем є WELL3, інноваційний проект Web3, що прагне революціонізувати те, як люди взаємодіють зі своїм здоров'ям. Використовуючи такі технології, як Децентралізована Фізична Інфраструктурна Мережа (DePIN), Децентралізована Ідентичність (DID) та Штучний Інтелект (AI), WELL3 має на меті сприяти безпечним, даними підкріпленим шляхам до здоров'я. Ця всеосяжна стаття глибоко аналізує основні аспекти WELL3, $$WELL, досліджуючи його функціональні можливості, творців, інвесторів та унікальні характеристики. Що таке WELL3, $$WELL? WELL3 слугує інноваційною платформою, яка має на меті переосмислити підхід до здоров'я та добробуту. Сфокусований на інтеграції DePIN і DID поряд із AI-системами, проект створений для надання персоналізованого досвіду для користувачів, забезпечуючи при цьому безпеку та конфіденційність медичних даних. З вражаючою цифрою понад мільйон попередньо зареєстрованих користувачів, основна місія WELL3 полягає в покращенні добробуту через безпечні, орієнтовані на дані шляхи до здоров'я. В основі WELL3 лежать передові блокчейн-технології, які забезпечують повний контроль користувачів над своїми особистими даними. Цей проект не тільки вирішує проблеми безпеки даних і доступності, але також прагне створити активну спільноту, пов'язану спільним прагненням до кращого здоров'я. Основні риси WELL3: DePIN і DID: Ці технології забезпечують безпечну власність та аутентифікацію даних, надаючи користувачам повний контроль над їхньою інформацією. Інтеграція AI: Використовуючи аналітику AI, WELL3 пропонує персоналізовані поради та рішення, адаптовані до індивідуальних потреб здоров'я. Залучення спільноти: Сприяє підтримуючому середовищу, в якому користувачі можуть спілкуватися, ділитися досвідом та надихати один одного на здоровіше життя. Творець WELL3, $$WELL Ідентичність творця WELL3 не уточнюється в доступній інформації. У міру просування проекту можуть з'явитися нові деталі, що проллють світло на творчі уми, які стоять за цією трансформаційною ініціативою. Інвестори WELL3, $$WELL WELL3 здобув підтримку від безлічі впливових інвестиційних структур, що підкреслює його надійність і потенціал у галузі здоров'я та добробуту. Серед відомих інвесторів: Animoca Brands AWS Samsung The Spartan Group Blocore Fenbushi Capital Newman Group Soul Capital XY Finance Lumoz Підтримка з боку цих визнаних організацій свідчить про сильну віру в місію WELL3, забезпечуючи йому необхідні ресурси для інновацій та розширення своїх пропозицій. Як працює WELL3, $$WELL? WELL3 функціонує, поєднуючи передові технології в мультичейн-рамках, забезпечуючи безперебійну та інноваційну взаємодію користувачів. Нижче наведено деякі фактори, які унікально позиціонують WELL3 на ринку добробуту: 1. Безпечна власність на дані З інтеграцією DePIN і DID користувачі можуть зберігати повний контроль над своїми особистими медичними даними. Цей рівень безпеки є надзвичайно важливим в сучасну епоху цифрових технологій, де порушення безпеки та несанкціонований доступ є поширеними. Через WELL3, власність на дані декентралізована, що дозволяє користувачам проактивно управляти своєю інформацією. 2. Персоналізація через AI WELL3 впроваджує аналітику на базі AI для надання користувачам персоналізованих медичних порад. Використовуючи силу AI, платформа може пропонувати індивідуалізовані рекомендації та рішення, заохочуючи користувачів досягати своїх цілей у здоров'ї більш ефективно. 3. Мультичейн-рамки Проект WELL3 розроблений для роботи на кількох платформах блокчейну, таких як Bitcoin, Ethereum, Polygon, Solana, Blast і TON. Ця мультичейн-можливість забезпечує безперебійну взаємодію користувачів з платформою через різні мережі, підвищуючи доступність та зручність. 4. Токен WELL Центральним елементом екосистеми WELL3 є токен WELL, який виконує кілька функцій, включаючи утиліту, управління та винагороди. Токен дозволяє брати участь в екосистемі, підтримує обмін медичними даними та мотивує користувачів на основі їхньої активності на платформі. Хронологія WELL3, $$WELL Шлях WELL3 демонструє значні віхи у її розвитку, кожна з яких реалізує загальний успіх проекту. Ось коротка хронологія ключових подій в історії WELL3: 10 лютого 2024: WELL3 запустив свій NFT проект, швидко ставши найбільшою колекцією NFT на ланцюзі opBNB з понад 324,000 власниками та досягнувши 8 мільйонів NFT, створених до 27 квітня 2024 року. Публічний продаж: Проект досяг вражаючої загальної заблокованої вартості (TVL) близько 15,237.2 ETH всього за сім днів, що свідчить про robust цікавості на ринку та підтримку. Запуск WELL ID: Платформа зареєструвала понад 900,000 користувачів для WELL ID та відповідного білого списку NFT Ring, відзначаючи значну фазу прийняття в екосистемі. Розвиток партнерства: WELL3 встановила партнерства з провідними організаціями, включаючи Animoca Brands, AWS, Samsung та іншими, щоб поліпшити свою екосистему та розширити свою присутність. Обсяг транзакцій: WELL3 здійснив транзакції на загальну суму понад 17 мільйонів доларів, що відображає зростаючу утиліту та залученість у спільноті здоров'я та добробуту. Ключові моменти про WELL3, $$WELL Як прогресивна ініціатива, що переорієнтовується на ринок добробуту, WELL3 визначила кілька важливих елементів, які сприятимуть її триваючому успіху. Ось кілька основних моментів, на які варто звернути увагу: Токеноміка Токен $$WELL має максимальну пропозицію 42 мільярдів, з значним 71% відведеним для ініціатив спільноти. Ця стратегія розподілу підкреслює зобов'язання проекту перед його базою користувачів та довгостроковою стійкістю. Період блокування Щоб забезпечити стабільність у екосистемі, токени випускаються партіями протягом 24-місячного періоду блокування, що сприяє довірі та впевненості серед користувачів. Розвиток екосистеми Бачення WELL3 поширюється на створення комплексної та стійкої екосистеми для сприяння успішному залученню спільноти, поведінці, що покращує здоров'я, та цифровим рішенням, що вирішують нагальні потреби сфери добробуту. Відповідність ринку Індустрія добробуту, оцінювана в 5.6 трильйонів доларів, пропонує вигідну можливість, яку WELL3 прагне використати. З очікуваним щорічним темпом зростання 5-10%, проект ідеально позиціонується на тлі зростаючої тенденції до здорового способу життя. Носимі пристрої Введення кільця WELL3, носимого пристрою з крипто-інцентуванням, відповідає зростаючому попиту на персоналізовані дані про здоров'я. Цей пристрій не лише підвищує досвід користувача, але й переосмислює те, що означає бути залученим до власного здоров'я в контексті Web3. Висновок WELL3 представляє собою значний прогрес у інтеграції блокчейн-технологій у сектор здоров'я та добробуту. Вирішуючи критично важливі питання щодо володіння даними, персоналізації та залучення спільноти, ця інноваційна платформа пропонує прогресивне рішення для покращення індивідуального добробуту. З потужною підтримкою від відомих інвесторів та зобов'язанням до передових технологій, WELL3 готовий зробити відчутний вплив у сфері добробуту. Для тих, хто прагне орієнтуватися в складнощах здоров'я в цифрову епоху, WELL3 безумовно варто стежити за його еволюцією та зростанням.

39 переглядів усьогоОпубліковано 2024.07.14Оновлено 2024.12.03

Що таке $WELL

Як купити WELL

Ласкаво просимо до HTX.com! Ми зробили покупку Moonwell Artemis (WELL) простою та зручною. Дотримуйтесь нашої покрокової інструкції, щоб розпочати свою криптовалютну подорож.Крок 1: Створіть обліковий запис на HTXВикористовуйте свою електронну пошту або номер телефону, щоб зареєструвати обліковий запис на HTX безплатно. Пройдіть безпроблемну реєстрацію й отримайте доступ до всіх функцій.ЗареєструватисьКрок 2: Перейдіть до розділу Купити крипту і виберіть спосіб оплатиКредитна/дебетова картка: використовуйте вашу картку Visa або Mastercard, щоб миттєво купити Moonwell Artemis (WELL).Баланс: використовуйте кошти з балансу вашого рахунку HTX для безперешкодної торгівлі.Треті особи: ми додали популярні способи оплати, такі як Google Pay та Apple Pay, щоб підвищити зручність.P2P: Торгуйте безпосередньо з іншими користувачами на HTX.Позабіржова торгівля (OTC): ми пропонуємо індивідуальні послуги та конкурентні обмінні курси для трейдерів.Крок 3: Зберігайте свої Moonwell Artemis (WELL)Після придбання Moonwell Artemis (WELL) збережіть його у своєму обліковому записі на HTX. Крім того, ви можете відправити його в інше місце за допомогою блокчейн-переказу або використовувати його для торгівлі іншими криптовалютами.Крок 4: Торгівля Moonwell Artemis (WELL)Легко торгуйте Moonwell Artemis (WELL) на спотовому ринку HTX. Просто увійдіть до свого облікового запису, виберіть торгову пару, укладайте угоди та спостерігайте за ними в режимі реального часу. Ми пропонуємо зручний досвід як для початківців, так і для досвідчених трейдерів.

104 переглядів усьогоОпубліковано 2024.12.10Оновлено 2025.03.21

Як купити WELL

Обговорення

Ласкаво просимо до спільноти HTX. Тут ви можете бути в курсі останніх подій розвитку платформи та отримати доступ до професійної ринкової інформації. Нижче представлені думки користувачів щодо ціни WELL (WELL).

活动图片