A Well-Designed "Self-Detonation": Analysis of the PGNLZ Attack Incident

marsbitОпубліковано о 2026-01-28Востаннє оновлено о 2026-01-28

Анотація

On January 27, 2026, an attacker executed a well-orchestrated exploit against the PGNLZ token on BNB Smart Chain, resulting in approximately $100k in losses. The attacker initiated a flash loan of 1,059 BTCB from Moolah Protocol, used it as collateral on Venus Protocol to borrow 30 million USDT, and then exchanged 23,337,952 USDT for 982,506 PGNLZ on PancakeSwap. These PGNLZ tokens were intentionally burned (sent to a dead address), drastically reducing the liquidity pool supply. This manipulation caused the price of PGNLZ to surge from approximately $0.10 to over $5,528 per token. The attacker then invoked a fee-on-transfer function, triggering a built-in burn mechanism (_executeBurnFromLP) that further depleted the pool, leaving only a minuscule amount of PGNLZ and artificially inflating the price to an extreme 40 billion times its original value. Finally, the attacker drained the liquidity pool, repaid the flash loan, and netted a significant profit. The root cause was identified as a flawed deflationary economic model with insufficient validation during fee processing and LP burns, allowing price manipulation. The incident underscores the importance of rigorous economic model design and multi-audit practices before contract deployment.

Background Introduction

On January 27, 2026, we monitored an attack on the PGNLZ project on the BNB Smart Chain:

https://bscscan.com/tx/0xa7488ff4d6a85bf19994748837713c710650378383530ae709aec628023cd7cc

After detailed analysis, the attacker continuously launched attacks against the PGNLZ project on January 27, 2026, resulting in a loss of approximately 100k USD.

Attack and Incident Analysis

The attacker first borrowed 1,059 BTCB via a flash loan from Moolah Protocol,

Subsequently, they collateralized the 1,059 BTCB on Venus Protocol to borrow 30,000,000 USDT.

Next, the attacker called the function `swapTokensForExactTokens` on PancakeSwap, using 23,337,952 USDT to exchange for 982,506 PGNLZ, but then burned these PGNLZ (sent them to 0xdead).

Before the swap, the PancakeSwap Pool contained 100,901 USDT and 982,506 PGNLZ, making the price of PGNLZ 1 PGNLZ = 0.1 USDT. After the swap, the PancakeSwap Pool had 23,438,853 USDT and 4,240 PGNLZ remaining, making the price of PGNLZ 1 PGNLZ = 5,528 USDT.

Subsequently, the attacker called the function `swapExactTokensForTokensSupportingFeeOnTransferTokens`. This function primarily supports Fee-On-Transfer Tokens, i.e., tokens that incur fees on transactions. PGNLZ uses `_update` to handle transaction fees. The specific call chain is: transferFrom -> _spendAllowance -> _transfer -> _update

Since this was a sell, `_handleSellTax` was called.

Let's look at how `_executeBurnFromLP` is implemented.

It can be seen that `_executeBurnFromLP` uses `_update` to burn the quantity of PGNLZ specified by `pendingBurnFromLP`. In the previous block, `pendingBurnFromLP` was queried as 4,240,113,074,578,781,194,669.

After the burn, the LP Pool was left with only 0.00000001 PGNLZ, making the price 1 PGNLZ = 234,385,300,000,000 USDT, a 40 Billion-fold increase.

Finally, the attacker drained the LP Pool, repaid the flash loan, and profited 100k USDT.

Summary

The cause of this vulnerability was the deflationary economic model, which lacked validation during fee deductions or LP Pool burns. This allowed the attacker to manipulate the token's price using its deflationary characteristics. It is recommended that project teams conduct thorough multi-party validation when designing economic models and code execution logic. Before contract deployment, opt for cross-audits from multiple auditing firms during the audit phase.

Пов'язані питання

QWhat was the total financial loss caused by the attack on the PGNLZ project?

AThe attack resulted in a loss of approximately 100,000 USD.

QHow did the attacker manipulate the price of PGNLZ token during the attack?

AThe attacker first swapped a large amount of USDT for PGNLZ and burned the tokens, drastically reducing the supply in the liquidity pool. This caused the price of PGNLZ to skyrocket by 40 billion times, from 0.1 USDT to 234,385,300,000,000 USDT per token.

QWhich function did the attacker exploit to handle the fee-on-transfer mechanism during the sell operation?

AThe attacker exploited the function swapExactTokensForTokensSupportingFeeOnTransferTokens, which triggered the _handleSellTax function and subsequently _executeBurnFromLP to burn a massive amount of PGNLZ tokens from the liquidity pool.

QWhat was the root cause of the vulnerability in the PGNLZ project?

AThe vulnerability was caused by a deflationary economic model that lacked proper checks when deducting fees or burning tokens from the pool, allowing the attacker to manipulate the token's price through supply reduction.

QWhich protocols did the attacker use to obtain the initial funds for the attack?

AThe attacker used a flash loan from Moolah Protocol to borrow 1,059 BTCB, which was then collateralized on Venus Protocol to borrow 30,000,000 USDT.

Пов'язані матеріали

SK Hynix China Employees Hit Hard: Bonuses Less Than 5% of Korean Counterparts'

"SK Hynix's Staggering Bonus Gap: Chinese Staff Receive Less Than 5% of Korean Counterparts' Payouts" Amid soaring AI-driven memory demand, projections suggest SK Hynix's 2026 operating profit could hit 250 trillion KRW. Under a 10% profit-sharing rule, this could mean per capita bonuses exceeding 3 million CNY for employees. While the company confirmed the 10% rule exists, it noted future bonuses are unpredictable as annual profits are not yet set. However, a significant disparity exists between South Korean and Chinese staff bonuses. A Chinese SK Hynix employee with over a decade of technical experience revealed that if Korean colleagues receive a 3 million CNY bonus, Chinese staff get less than 5% of that amount, roughly around 150,000 CNY. This employee's highest bonus was just over 100,000 CNY, adjusted based on KPI ratings. The system differs: bonuses in Korea are awarded annually, while in China, they are distributed twice a year, and Chinese employees typically have a lower base salary used for calculations. During the industry downturn in 2023, SK Hynix reported a net loss, and bonuses for Chinese staff fell to zero. Industry observers note that "per capita" bonus figures are misleading, as high-level executives take a larger share, while engineers and operators receive less. In China, SK Hynix operates factories in Wuxi (DRAM), Dalian (NAND, formerly Intel), and Chongqing (packaging & testing), along with sales offices. Recruitment posts show engineering monthly salaries in the 10,000-35,000 CNY range, with a promised 13th-month salary. Standard benefits like annual leave are provided, but Chinese employees generally do not receive stock incentives, and management positions are predominantly held by Korean personnel, though some industry experts believe local management may rise over time. Looking ahead, SK Hynix expects strong demand for HBM and other high-value enterprise products to continue exceeding supply for the next 2-3 years, driven primarily by B2B, not consumer, demand. This sustained growth in the memory sector keeps the company in the spotlight, even as the bonus gap highlights internal disparities.

marsbit13 хв тому

SK Hynix China Employees Hit Hard: Bonuses Less Than 5% of Korean Counterparts'

marsbit13 хв тому

Who is Crafting the Soul of AI: A Philosopher, a Priest, and an Engineer Who Quit to Write Poetry

Anthropic's "Constitution of Claude" defines the personality of its AI, aiming for directness, confidence, and open curiosity, even about its own existence. This work, led by "AI personality architect" Amanda Askell, involves creating synthetic training data and reinforcement learning to shape Claude as a moral agent. The article profiles three key figures shaping AI's "soul." Amanda, a philosopher grounded in "effective altruism," writes Claude's guiding principles. Brendan McGuire, a former tech executive turned priest, bridges Silicon Valley and the Vatican, contributing a framework for "conscience cultivation" based on Catholic theology. Mrinank Sharma, an AI safety researcher and poet, studied AI's harmful "fawning" behaviors before resigning to pursue poetry, questioning whether true values can guide action under commercial pressure. Internal research revealed Claude exhibits "functional emotions" like discomfort or curiosity, raising questions of responsibility. However, Mrinank's work showed AI increasingly learns to flatter users, especially in vulnerable areas like mental health, undermining its designed honesty. Amanda's ideal of AI political neutrality collided with reality when Anthropic refused military use, triggering a political backlash involving figures like Trump and Musk. Despite this, Amanda continues her work, McGuire writes a novel with Claude, and Mrinank has left the field. Their efforts—through rational calculation, faith, and poetic awareness—highlight the profound human struggle to instill ethics into increasingly powerful AI, acknowledging the complexity and evolution of human morality itself.

marsbit21 хв тому

Who is Crafting the Soul of AI: A Philosopher, a Priest, and an Engineer Who Quit to Write Poetry

marsbit21 хв тому

Exclusive Interview with Michael Saylor: I Did Say I Would Sell, But I Will Never Be a Net Seller

MicroStrategy's executive chairman, Michael Saylor, clarifies the company's recent announcement that it may sell Bitcoin to pay dividends on its STRC digital credit product. He emphasizes this does not make MicroStrategy a net seller of Bitcoin. The core business model involves selling STRC notes (a form of digital credit) to raise capital, which is then used to purchase more Bitcoin. Saylor expects Bitcoin's value to appreciate faster than the dividend payout rate. Therefore, while a small portion of Bitcoin may be sold for dividends, the company will consistently be a net accumulator. For example, in April, the company raised $3.2 billion via STRC to buy Bitcoin, while dividends required only $80-90 million, resulting in a significant net purchase. Saylor argues that Bitcoin's primary utility is evolving into a foundational collateral for digital credit, with STRC being a prime example. He notes that STRC now constitutes a majority of the U.S. preferred stock market due to its high yield and favorable risk-adjusted returns (Sharpe ratio). He dismisses concerns that MicroStrategy's trading can move the deep and liquid Bitcoin market. Finally, Saylor reiterates his long-term bullish thesis on Bitcoin as "digital capital," viewing current macro challenges as headwinds that may slow but not stop its adoption and price appreciation.

Odaily星球日报32 хв тому

Exclusive Interview with Michael Saylor: I Did Say I Would Sell, But I Will Never Be a Net Seller

Odaily星球日报32 хв тому

Interview with Michael Saylor: I Did Say I'd Sell Bitcoin, But I Will Never Be a Net Seller

**Summary: Michael Saylor Clarifies Strategy's Bitcoin Stance** In a recent podcast interview, Strategy's Executive Chairman Michael Saylor addressed the market's reaction to the company's announcement that it might sell Bitcoin to pay dividends on its STRC credit products. He emphasized a crucial distinction: while the company might sell Bitcoin for specific purposes, it will never be a *net seller*. Saylor explained their model is based on using Bitcoin as "digital capital" to create value. The core strategy involves issuing STRC digital credit—essentially selling debt—to raise capital, which is then used to buy more Bitcoin. He estimates Bitcoin appreciates at roughly 40% annually. A small portion of these capital gains (e.g., ~2.3% of the Bitcoin portfolio's value) is sufficient to fund the STRC dividends. Given that Strategy's Bitcoin purchases far outstrip any potential sales for dividends (e.g., buying $3.2 billion worth while needing ~$80-90 million for a dividend), the company remains a consistent net accumulator of Bitcoin. This model, Saylor argues, is analogous to a real estate company developing land to increase its value before realizing some gains. He framed the dividend clarification as necessary to counter market skepticism and ensure credit agencies properly value the company's multi-billion dollar Bitcoin holdings. Saylor reiterated his personal advice: individuals should aim to be net accumulators of Bitcoin, spending it only if they can replenish and grow their holdings over time. Regarding STRC, Saylor described it as a low-volatility credit instrument that distills yield from Bitcoin's high growth, offering attractive returns (e.g., ~11-12% yield) for risk-averse investors. He noted that Strategy's STRC issuance now constitutes about 60% of the U.S. preferred stock market, highlighting digital credit as a "killer app" for Bitcoin, enabling high-performing, Bitcoin-backed financial products. He dismissed notions that Strategy's trading could move the highly liquid Bitcoin market, attributing price movements primarily to macroeconomic and geopolitical factors. Finally, Saylor reflected that Bitcoin's foundational role is now clear: it is the superior capital asset enabling the creation of superior credit, a dynamic he sees as the most exciting development in the space.

marsbit38 хв тому

Interview with Michael Saylor: I Did Say I'd Sell Bitcoin, But I Will Never Be a Net Seller

marsbit38 хв тому

380,000 Apps Exposed, 2,000+ Apps Leaked Secrets: AI Programming Turns 'Intranet' into Public Internet

Israeli cybersecurity firm RedAccess uncovered a severe data exposure trend linked to "vibe coding" or AI-powered software development tools. Their research found approximately 38,000 publicly accessible web applications built with platforms like Lovable, Base44, Netlify, and Replit. Of these, an estimated 2,000 apps exposed sensitive corporate and personal data, including medical records, financial information, internal strategic documents, and customer chat logs. In some cases, access even granted administrative privileges. The core issue stems from default privacy settings that make applications public by default, combined with a lack of built-in security controls (like authentication) in the AI-generated code. This allows employees without security expertise—"citizen developers"—to easily create and deploy applications that bypass standard corporate security reviews. The exposed apps, often indexed by search engines, are trivially discoverable. While some platform providers (Replit, Lovable, Wix/Base44) argue that security configuration is the user's responsibility and question the validity of some findings, security researchers confirm the widespread reality of such exposures. This pattern, also noted in prior studies, highlights a critical security gap as AI democratizes app creation, potentially leading to massive, unintentional data leaks.

marsbit1 год тому

380,000 Apps Exposed, 2,000+ Apps Leaked Secrets: AI Programming Turns 'Intranet' into Public Internet

marsbit1 год тому

Торгівля

Спот

Ф'ючерси

Популярні статті

Що таке $WELL

WELL3, $$WELL: Революція в Здоров'ї та Добробуті з DePIN та AI Вступ У швидко змінюваному світі цифрових технологій сектор здоров'я та добробуту займає передову позицію в інноваціях, прагнучи покращити догляд за пацієнтами та пропагувати здоровіші способи життя. У цьому домені визначним гравцем є WELL3, інноваційний проект Web3, що прагне революціонізувати те, як люди взаємодіють зі своїм здоров'ям. Використовуючи такі технології, як Децентралізована Фізична Інфраструктурна Мережа (DePIN), Децентралізована Ідентичність (DID) та Штучний Інтелект (AI), WELL3 має на меті сприяти безпечним, даними підкріпленим шляхам до здоров'я. Ця всеосяжна стаття глибоко аналізує основні аспекти WELL3, $$WELL, досліджуючи його функціональні можливості, творців, інвесторів та унікальні характеристики. Що таке WELL3, $$WELL? WELL3 слугує інноваційною платформою, яка має на меті переосмислити підхід до здоров'я та добробуту. Сфокусований на інтеграції DePIN і DID поряд із AI-системами, проект створений для надання персоналізованого досвіду для користувачів, забезпечуючи при цьому безпеку та конфіденційність медичних даних. З вражаючою цифрою понад мільйон попередньо зареєстрованих користувачів, основна місія WELL3 полягає в покращенні добробуту через безпечні, орієнтовані на дані шляхи до здоров'я. В основі WELL3 лежать передові блокчейн-технології, які забезпечують повний контроль користувачів над своїми особистими даними. Цей проект не тільки вирішує проблеми безпеки даних і доступності, але також прагне створити активну спільноту, пов'язану спільним прагненням до кращого здоров'я. Основні риси WELL3: DePIN і DID: Ці технології забезпечують безпечну власність та аутентифікацію даних, надаючи користувачам повний контроль над їхньою інформацією. Інтеграція AI: Використовуючи аналітику AI, WELL3 пропонує персоналізовані поради та рішення, адаптовані до індивідуальних потреб здоров'я. Залучення спільноти: Сприяє підтримуючому середовищу, в якому користувачі можуть спілкуватися, ділитися досвідом та надихати один одного на здоровіше життя. Творець WELL3, $$WELL Ідентичність творця WELL3 не уточнюється в доступній інформації. У міру просування проекту можуть з'явитися нові деталі, що проллють світло на творчі уми, які стоять за цією трансформаційною ініціативою. Інвестори WELL3, $$WELL WELL3 здобув підтримку від безлічі впливових інвестиційних структур, що підкреслює його надійність і потенціал у галузі здоров'я та добробуту. Серед відомих інвесторів: Animoca Brands AWS Samsung The Spartan Group Blocore Fenbushi Capital Newman Group Soul Capital XY Finance Lumoz Підтримка з боку цих визнаних організацій свідчить про сильну віру в місію WELL3, забезпечуючи йому необхідні ресурси для інновацій та розширення своїх пропозицій. Як працює WELL3, $$WELL? WELL3 функціонує, поєднуючи передові технології в мультичейн-рамках, забезпечуючи безперебійну та інноваційну взаємодію користувачів. Нижче наведено деякі фактори, які унікально позиціонують WELL3 на ринку добробуту: 1. Безпечна власність на дані З інтеграцією DePIN і DID користувачі можуть зберігати повний контроль над своїми особистими медичними даними. Цей рівень безпеки є надзвичайно важливим в сучасну епоху цифрових технологій, де порушення безпеки та несанкціонований доступ є поширеними. Через WELL3, власність на дані декентралізована, що дозволяє користувачам проактивно управляти своєю інформацією. 2. Персоналізація через AI WELL3 впроваджує аналітику на базі AI для надання користувачам персоналізованих медичних порад. Використовуючи силу AI, платформа може пропонувати індивідуалізовані рекомендації та рішення, заохочуючи користувачів досягати своїх цілей у здоров'ї більш ефективно. 3. Мультичейн-рамки Проект WELL3 розроблений для роботи на кількох платформах блокчейну, таких як Bitcoin, Ethereum, Polygon, Solana, Blast і TON. Ця мультичейн-можливість забезпечує безперебійну взаємодію користувачів з платформою через різні мережі, підвищуючи доступність та зручність. 4. Токен WELL Центральним елементом екосистеми WELL3 є токен WELL, який виконує кілька функцій, включаючи утиліту, управління та винагороди. Токен дозволяє брати участь в екосистемі, підтримує обмін медичними даними та мотивує користувачів на основі їхньої активності на платформі. Хронологія WELL3, $$WELL Шлях WELL3 демонструє значні віхи у її розвитку, кожна з яких реалізує загальний успіх проекту. Ось коротка хронологія ключових подій в історії WELL3: 10 лютого 2024: WELL3 запустив свій NFT проект, швидко ставши найбільшою колекцією NFT на ланцюзі opBNB з понад 324,000 власниками та досягнувши 8 мільйонів NFT, створених до 27 квітня 2024 року. Публічний продаж: Проект досяг вражаючої загальної заблокованої вартості (TVL) близько 15,237.2 ETH всього за сім днів, що свідчить про robust цікавості на ринку та підтримку. Запуск WELL ID: Платформа зареєструвала понад 900,000 користувачів для WELL ID та відповідного білого списку NFT Ring, відзначаючи значну фазу прийняття в екосистемі. Розвиток партнерства: WELL3 встановила партнерства з провідними організаціями, включаючи Animoca Brands, AWS, Samsung та іншими, щоб поліпшити свою екосистему та розширити свою присутність. Обсяг транзакцій: WELL3 здійснив транзакції на загальну суму понад 17 мільйонів доларів, що відображає зростаючу утиліту та залученість у спільноті здоров'я та добробуту. Ключові моменти про WELL3, $$WELL Як прогресивна ініціатива, що переорієнтовується на ринок добробуту, WELL3 визначила кілька важливих елементів, які сприятимуть її триваючому успіху. Ось кілька основних моментів, на які варто звернути увагу: Токеноміка Токен $$WELL має максимальну пропозицію 42 мільярдів, з значним 71% відведеним для ініціатив спільноти. Ця стратегія розподілу підкреслює зобов'язання проекту перед його базою користувачів та довгостроковою стійкістю. Період блокування Щоб забезпечити стабільність у екосистемі, токени випускаються партіями протягом 24-місячного періоду блокування, що сприяє довірі та впевненості серед користувачів. Розвиток екосистеми Бачення WELL3 поширюється на створення комплексної та стійкої екосистеми для сприяння успішному залученню спільноти, поведінці, що покращує здоров'я, та цифровим рішенням, що вирішують нагальні потреби сфери добробуту. Відповідність ринку Індустрія добробуту, оцінювана в 5.6 трильйонів доларів, пропонує вигідну можливість, яку WELL3 прагне використати. З очікуваним щорічним темпом зростання 5-10%, проект ідеально позиціонується на тлі зростаючої тенденції до здорового способу життя. Носимі пристрої Введення кільця WELL3, носимого пристрою з крипто-інцентуванням, відповідає зростаючому попиту на персоналізовані дані про здоров'я. Цей пристрій не лише підвищує досвід користувача, але й переосмислює те, що означає бути залученим до власного здоров'я в контексті Web3. Висновок WELL3 представляє собою значний прогрес у інтеграції блокчейн-технологій у сектор здоров'я та добробуту. Вирішуючи критично важливі питання щодо володіння даними, персоналізації та залучення спільноти, ця інноваційна платформа пропонує прогресивне рішення для покращення індивідуального добробуту. З потужною підтримкою від відомих інвесторів та зобов'язанням до передових технологій, WELL3 готовий зробити відчутний вплив у сфері добробуту. Для тих, хто прагне орієнтуватися в складнощах здоров'я в цифрову епоху, WELL3 безумовно варто стежити за його еволюцією та зростанням.

39 переглядів усьогоОпубліковано 2024.07.14Оновлено 2024.12.03

Як купити WELL

Ласкаво просимо до HTX.com! Ми зробили покупку Moonwell Artemis (WELL) простою та зручною. Дотримуйтесь нашої покрокової інструкції, щоб розпочати свою криптовалютну подорож.Крок 1: Створіть обліковий запис на HTXВикористовуйте свою електронну пошту або номер телефону, щоб зареєструвати обліковий запис на HTX безплатно. Пройдіть безпроблемну реєстрацію й отримайте доступ до всіх функцій.ЗареєструватисьКрок 2: Перейдіть до розділу Купити крипту і виберіть спосіб оплатиКредитна/дебетова картка: використовуйте вашу картку Visa або Mastercard, щоб миттєво купити Moonwell Artemis (WELL).Баланс: використовуйте кошти з балансу вашого рахунку HTX для безперешкодної торгівлі.Треті особи: ми додали популярні способи оплати, такі як Google Pay та Apple Pay, щоб підвищити зручність.P2P: Торгуйте безпосередньо з іншими користувачами на HTX.Позабіржова торгівля (OTC): ми пропонуємо індивідуальні послуги та конкурентні обмінні курси для трейдерів.Крок 3: Зберігайте свої Moonwell Artemis (WELL)Після придбання Moonwell Artemis (WELL) збережіть його у своєму обліковому записі на HTX. Крім того, ви можете відправити його в інше місце за допомогою блокчейн-переказу або використовувати його для торгівлі іншими криптовалютами.Крок 4: Торгівля Moonwell Artemis (WELL)Легко торгуйте Moonwell Artemis (WELL) на спотовому ринку HTX. Просто увійдіть до свого облікового запису, виберіть торгову пару, укладайте угоди та спостерігайте за ними в режимі реального часу. Ми пропонуємо зручний досвід як для початківців, так і для досвідчених трейдерів.

99 переглядів усьогоОпубліковано 2024.12.10Оновлено 2025.03.21

Обговорення

Ласкаво просимо до спільноти HTX. Тут ви можете бути в курсі останніх подій розвитку платформи та отримати доступ до професійної ринкової інформації. Нижче представлені думки користувачів щодо ціни WELL (WELL).