Một Vụ "Tự Nổ" Được Thiết Kế Tinh Vi: Phân Tích Sự Kiện Tấn Công PGNLZ

marsbitXuất bản vào 2026-01-28Cập nhật gần nhất vào 2026-01-28

Tóm tắt

Phân tích sự kiện tấn công PGNLZ: Vào ngày 27/1/2026, tin tặc đã khai thác lỗ hổng trong dự án PGNLZ trên BNB Smart Chain, gây thiệt hại khoảng 100.000 USD. Tin tặc sử dụng flash loan từ Moolah Protocol để vay 1.059 BTCB, sau đó thế chấp trên Venus Protocol để vay 30.000.000 USDT. Tiếp theo, họ chuyển đổi 23.337.952 USDT lấy 982.506 PGNLZ trên PancakeSwap rồi chuyển số token này vào ví 0xdead (hủy token). Hành động này làm thay đổi tỷ lệ trong pool, đẩy giá PGNLZ từ 0,1 USDT lên 5.528 USDT. Tin tặc sau đó gọi hàm swapExactTokensForTokensSupportingFeeOnTransferTokens, kích hoạt cơ chế tính phí _handleSellTax và _executeBurnFromLP, khiến LP Pool bị đốt gần như toàn bộ token (chỉ còn 0,00000001 PGNLZ). Giá token tăng vọt 40 tỷ lần, cho phép tin tặc rút toàn bộ pool, trả lại flash loan và thu lợi 100.000 USD. Nguyên nhân lỗi đến từ mô hình kinh tế giảm phát không được kiểm tra kỹ, cho phép thao túng giá. Khuyến nghị dự án nên kiểm tra chéo hợp đồng với nhiều đơn vị audit trước khi triển khai.

Giới Thiệu Bối Cảnh

Vào ngày 27 tháng 1 năm 2026, chúng tôi đã giám sát được một sự kiện tấn công nhắm vào dự án PGNLZ trên BNB Smart Chain:

https://bscscan.com/tx/0xa7488ff4d6a85bf19994748837713c710650378383530ae709aec628023cd7cc

Sau khi phân tích chi tiết, kẻ tấn công đã liên tục phát động các cuộc tấn công vào dự án PGNLZ vào ngày 27 tháng 1 năm 2026, vụ tấn công đã gây thiệt hại khoảng 100.000 USD.

Phân Tích Sự Kiện và Cuộc Tấn Công

Kẻ tấn công đầu tiên đã vay flash loan 1.059 BTCB từ Moolah Protocol,

Sau đó, thế chấp 1.059 BTCB trong Venus Protocol, để vay 30.000.000 USDT.

Tiếp theo, kẻ tấn công đã gọi hàm swapTokensForExactTokens trên PancakeSwap, sử dụng 23.337.952 USDT để đổi lấy 982.506 PGNLZ, nhưng lại đốt (chuyển đến 0xdead) số PGNLZ này.

Trước khi hoán đổi, PancakeSwap Pool có 100.901 USDT và 982.506 PGNLZ, lúc này giá PGNLZ là 1 PGNLZ = 0,1 USDT. Sau khi hoán đổi, PancakeSwap Pool còn lại 23.438.853 USDT và 4.240 PGNLZ, lúc này, giá PGNLZ là 1 PGNLZ = 5.528 USDT.

Sau đó, kẻ tấn công gọi hàm swapExactTokensForTokensSupportingFeeOnTransferTokens, hàm này chủ yếu hỗ trợ Token có phí chuyển khoản (Fee-On Transfer Token). PGNLZ sử dụng _update để xử lý phí giao dịch, chuỗi gọi cụ thể là: transferFrom -> _spendAllowance -> _transfer -> _update

Vì lần này là bán (sell), nên sẽ gọi đến _handleSellTax.

Chúng ta hãy xem _executeBurnFromLP được triển khai như thế nào,

Có thể thấy, _executeBurnFromLP sẽ sử dụng _update để đốt số lượng PGNLZ pendingBurnFromLP. Ở block trước đó, truy vấn được pendingBurnFromLP là 4.240.113.074.578.781.194.669.

Sau khi đốt, LP Pool chỉ còn lại 0,00000001 PGNLZ, lúc này 1 PGNLZ = 234.385.300.000.000 USDT, đã tăng 40 Tỷ lần.

Cuối cùng, kẻ tấn công đã rút cạn LP Pool, trả hết flash loan và thu lợi 100 nghìn USDT.

Tổng Kết

Nguyên nhân của lỗ hổng này là do mô hình kinh tế giảm phát (deflationary economic model), khi trừ phí hoặc Đốt LP Pool đã không được xác minh. Điều này dẫn đến việc kẻ tấn công lợi dụng đặc tính giảm phát để thao túng giá Token. Khuyến nghị các dự án nên xác minh đa chiều khi thiết kế mô hình kinh tế và logic vận hành mã, và khi kiểm toán hợp đồng trước khi triển khai, nên chọn nhiều công ty kiểm toán để kiểm tra chéo.

Câu hỏi Liên quan

QSự kiện tấn công PGNLZ xảy ra vào ngày nào và trên blockchain nào?

ASự kiện tấn công xảy ra vào ngày 27 tháng 1 năm 2026 trên mạng BNB Smart Chain.

QKẻ tấn công đã sử dụng phương pháp gì để có được số vốn ban đầu?

AKẻ tấn công đã sử dụng flash loan từ Moolah Protocol để vay 1.059 BTCB.

QHành động chính nào cho phép kẻ tấn công thao túng giá của token PGNLZ?

AKẻ tấn công đã đốt (burn) một lượng lớn token PGNLZ vào địa chỉ 0xdead, làm giảm nguồn cung trong pool một cách đột ngột và đẩy giá token lên cao.

QLỗ hổng chính trong hợp đồng thông minh của PGNLZ là gì?

ALỗ hổng nằm ở mô hình kinh tế giảm phát (deflationary economic model), cụ thể là việc tính phí hoặc đốt token từ LP Pool mà không có cơ chế xác minh phù hợp, cho phép kẻ tấn công thao túng giá.

QThiệt hại ước tính của vụ tấn công này là bao nhiêu?

ACuộc tấn công đã gây ra thiệt hại ước tính khoảng 100.000 USD.

Nội dung Liên quan

Khoản phạt của Futu đã trở thành tin tốt cho Hyperliquid?

Tác giả: Thejaswini M A Biên dịch và tổng hợp: BitpushNews Ngày 22/5/2026, Ủy ban Chứng khoán Trung Quốc (CSRC) công bố đề xuất xử phạt nghiêm khắc các công ty môi giới như Tiger Brokers, Futu Securities và Longbridge Securities vì hoạt động kinh doanh xuyên biên giới trái phép. Động thái này bao gồm phạt tiền lớn, tịch thu lợi nhuận, ngừng hoạt động trong hai năm và chỉ cho phép khách hàng hiện tại bán ra. Tin tức khiến cổ phiếu các công ty này giảm hơn 40%. Việc siết chặt các kênh đầu tư xuyên biên giới hợp pháp có thể khiến dòng vốn tìm kiếm cơ hội toàn cầu chuyển hướng sang các nền tảng như Hyperliquid. Hyperliquid, một giao thức phái sinh phi tập trung, đang thu hút sự chú ý và áp lực từ các sàn giao dịch truyền thống như CME Group và ICE. Họ chỉ trích Hyperliquid là nơi tiềm ẩn rủi ro thao túng thị trường và né tránh lệnh trừng phạt do không yêu cầu xác minh danh tính (KYC), không giới hạn vị thế và thiếu hệ thống giám sát. Tuy nhiên, mối quan tâm chính của họ dường như tập trung vào các hợp đồng dầu thô của Hyperliquid, nơi xử lý khối lượng giao dịch 720 triệu USD vào cuối tuần khi thị trường truyền thống đóng cửa, phá vỡ "độc quyền" về thời gian giao dịch. Mặc dù vậy, Hyperliquid vẫn thể hiện hiệu suất ấn tượng. Với chỉ 11 nhân viên, giao thức tạo ra doanh thu 51 triệu USD trong 30 ngày và xử lý khối lượng giao dịch phái sinh danh nghĩa 2,6 nghìn tỷ USD vào tháng 3. Giao thức sử dụng 97% phí giao dịch để mua lại token HYPE. Gần đây, các hợp đồng tương lai vĩnh viễn Pre-IPO cho Cerebras và SpaceX được ra mắt trên nền tảng Trade.xyz xây dựng trên Hyperliquid đã chứng minh khả năng phát hiện giá chính xác đáng chú ý, vượt trội so với các nền tảng chuyển nhượng cổ phần tư nhân truyền thống. Hyperliquid tiếp cận thị trường Pre-IPO thông qua các hợp đồng phái sinh tổng hợp "phi vật chất", không yêu cầu quyền sở hữu cổ phiếu thực tế, khiến nó khó bị các công ty mục tiêu kiện tụng hoặc các cơ quan quản lý nhắm đến hơn so với các mô hình dựa trên tài sản thực như PreStocks hay Ondo. Tuy nhiên, mô hình không KYC và phi tập trung một phần này cũng đặt ra những lo ngại về rủi ro an ninh quốc gia. Người đồng sáng lập Jeff Yan đã đến Washington để thảo luận với các nhà hoạch định chính sách, cho thấy áp lực quản lý đang gia tăng. Dù vậy, lợi thế cốt lõi của Hyperliquid có lẽ nằm ở khả năng cung cấp khả năng tiếp cận và phát hiện giá liên tục, bất kể thời gian hay địa lý.

marsbit17 phút trước

Khoản phạt của Futu đã trở thành tin tốt cho Hyperliquid?

marsbit17 phút trước

Báo cáo đầu tiên của Mythos công bố: Hàng tỷ thiết bị trên toàn cầu đang 'trần như nhộng', phát hiện 10.000 lỗ hổng chết người trong 30 ngày

Báo cáo đầu tiên của Mythos đã công bố: Chỉ trong 30 ngày, AI Claude Mythos Preview từ Anthropic đã phát hiện hơn 10.000 lỗ hổng nghiêm trọng trên toàn cầu, thậm chí ngăn chặn thành công một vụ lừa đảo chuyển tiền 1,5 triệu USD. Thông qua "Dự án Glasswing", với sự tham gia của khoảng 50 công ty công nghệ và cơ sở hạ tầng quan trọng, mô hình AI này đã quét các dự án mã nguồn mở và hệ thống độc quyền, làm lộ ra hàng nghìn lỗ hổng nguy hiểm, bao gồm cả những lỗi tiềm ẩn hơn 27 năm. Khả năng tự động xây dựng chuỗi khai thác và tỷ lệ dương tính thật cao 90,6% đã gây sốc cho giới an ninh mạng. Tuy nhiên, lượng báo cáo khổng lồ đã tạo ra cuộc khủng hoảng mới: tốc độ sửa lỗi của con người không theo kịp AI. Anthropic đang phát triển bộ công cụ tự động hóa như Claude Security để hỗ trợ vá lỗi, đồng thời hết sức thận trọng trước khi phát hành công khai Mythos vì lo ngại nguy cơ bị lạm dụng. Tương lai hứa hẹn một thế giới phần mềm an toàn hơn, nhưng hiện tại là giai đoạn chuyển đổi đầy thách thức.

marsbit1 giờ trước

Báo cáo đầu tiên của Mythos công bố: Hàng tỷ thiết bị trên toàn cầu đang 'trần như nhộng', phát hiện 10.000 lỗ hổng chết người trong 30 ngày

marsbit1 giờ trước

Cha đẻ của AlphaGo cho AI vào xã hội nhân tạo 23 năm: Ba điểm khó nhất của tác tử thông minh đều ở đây

Giám đốc điều hành DeepMind, cha đẻ AlphaGo Demis Hassabis, đã chọn EVE Online - một trò chơi không gian MMORPG đã vận hành suốt 23 năm - làm "vũ trụ sống" mới để nghiên cứu AI. Hợp tác này nhằm giải quyết ba thách thức lớn nhất của tác nhân AI hiện nay: lập kế hoạch dài hạn (long-horizon planning), trí nhớ (memory) và học tập liên tục (continual learning). Khác với các trò chơi có ván đấu kết thúc như Go hay StarCraft, EVE Online là một vũ trụ duy nhất, tồn tại liên tục, nơi người chơi xây dựng các hệ thống kinh tế, liên minh chính trị và kế hoạch chiến tranch kéo dài hàng năm. Môi trường phức tạp, do chính người chơi định hình này là bài kiểm tra lý tưởng cho các khả năng mà AI cần. Nghiên cứu ban đầu sẽ được thực hiện trong một phiên bản EVE Offline, trên máy chủ cục bộ, đảm bảo môi trường kiểm soát và không ảnh hưởng đến máy chủ chính thức. Lựa chọn này đánh dấu bước tiến trong lộ trình nghiên cứu của DeepMind: từ môi trường quy tắc cố định (Atari, Go) đến thế giới mở, tồn tại lâu dài và tiến hóa tự nhiên như EVE. Động thái này cho thấy xu hướng mới: thay vì tạo ra môi trường tổng hợp, các nhà nghiên cứu đang tìm đến những "xã hội nhân tạo" đã được kiểm chứng độ phức tạp qua thời gian dài để huấn luyện và đánh giá tác nhân AI thông minh hơn.

marsbit1 giờ trước

Cha đẻ của AlphaGo cho AI vào xã hội nhân tạo 23 năm: Ba điểm khó nhất của tác tử thông minh đều ở đây

marsbit1 giờ trước

Vitalik Buterin Bảo Vệ Tầm Nhìn Dài Hạn Giữa Lo Ngại Về Giá Token

Vitalik Buterin, đồng sáng lập Ethereum, đã lên tiếng bảo vệ tầm nhìn dài hạn của Quỹ Ethereum trước những lo ngại về giá token. Ông nhấn mạnh mục tiêu chính của Quỹ vẫn là hỗ trợ phi tập trung hóa giao thức Ethereum, mã nguồn mở, an ninh mạng, nghiên cứu dài hạn và khả năng chống kiểm duyệt, chứ không phải tập trung vào giá token ngắn hạn hay cạnh tranh về tốc độ giao dịch. Bài viết đề cập đến việc giá ETH hiện ở mức khoảng $2,094, giảm hơn 50% so với mức cao kỷ lục. Trong bối cảnh có một số cá nhân nổi bật rời khỏi Quỹ Ethereum và các nhà đầu tư lớn bán ETH, Buterin giải thích rằng Quỹ chỉ nắm giữ khoảng 0,16% tổng nguồn cung ETH, thấp hơn nhiều so với các quỹ khác. Ông cũng khẳng định Quỹ sẽ ưu tiên "tuổi thọ" của mạng lưới, giảm bán token trong tương lai và tiếp tục dùng nguồn lực để hỗ trợ nghiên cứu. Một động thái gần đây là việc Quỹ rút 21,270 ETH đã stake từ nền tảng Lido, nhưng khẳng định điều này không đồng nghĩa với việc bán số token đó.

TheNewsCrypto3 giờ trước

Vitalik Buterin Bảo Vệ Tầm Nhìn Dài Hạn Giữa Lo Ngại Về Giá Token

TheNewsCrypto3 giờ trước

ETF Bitcoin Giao Ngay Ghi Nhận Dòng Tiền Rút Ròng 1,26 Tỷ USD – Mức Cao Nhất Trong 3 Tháng – Chi Tiết

Các quỹ ETF Bitcoin spot tại Mỹ đã ghi nhận dòng tiền ròng rút kỷ lục trong 3 tháng, với tổng cộng 1,26 tỷ USD chảy ra trong tuần trước. Đây là đợt rút tiền mạnh nhất kể từ cuối tháng 1. Thị trường trải qua 6 ngày giao dịch liên tiếp với dòng tiền ra, trong đó thứ Hai là ngày tồi tệ nhất với 648,64 triệu USD. Trong số các quỹ lớn, BlackRock IBIT chịu tác động nặng nề nhất với hơn 1 tỷ USD rút ròng, mặc dù vẫn dẫn đầu thị trường về tổng tài sản. Fidelity và Ark/21 Shares cũng ghi nhận dòng tiền ra đáng kể. Chỉ có quỹ mới MSBT của Morgan Stanley có dòng tiền vào nhỏ. Tính đến nay trong tháng 5, toàn bộ nhóm ETF Bitcoin spot đã mất 1 tỷ USD giá trị ròng. Tình hình cũng ảm đạm với các quỹ ETF Ethereum, khi chúng hứng chịu 10 ngày liên tiếp dòng tiền ra, tổng cộng 471,1 triệu USD trong khoảng thời gian này. Bất chấp dòng tiền rút mạnh, giá Bitcoin và Ethereum vẫn tăng nhẹ vào thời điểm báo cáo.

bitcoinist9 giờ trước

ETF Bitcoin Giao Ngay Ghi Nhận Dòng Tiền Rút Ròng 1,26 Tỷ USD – Mức Cao Nhất Trong 3 Tháng – Chi Tiết

bitcoinist9 giờ trước

Giao dịch

Giao ngay
Hợp đồng Tương lai

Bài viết Nổi bật

$WELL là gì

WELL3, $$WELL: Cách mạng hóa sức khỏe và phúc lợi với DePIN và AI Giới thiệu Trong bối cảnh công nghệ số đang phát triển mạnh mẽ, lĩnh vực sức khỏe và phúc lợi đứng ở vị trí tiên phong trong đổi mới, nỗ lực nâng cao chất lượng chăm sóc bệnh nhân và thúc đẩy lối sống lành mạnh hơn. Một người chơi tiên phong trong lĩnh vực này là WELL3, một dự án Web3 đột phá nhằm cách mạng hóa cách mà các cá nhân tương tác với sức khỏe của họ. Bằng cách tận dụng các công nghệ như Mạng Cơ sở Hạ tầng Vật lý Phi tập trung (DePIN), Danh tính Phi tập trung (DID) và Trí tuệ Nhân tạo (AI), WELL3 hướng tới việc tạo ra những hành trình sức khỏe an toàn, được hỗ trợ bằng dữ liệu. Bài viết toàn diện này đi sâu vào các khía cạnh cốt lõi của WELL3, $$WELL, khám phá các chức năng, người sáng tạo, nhà đầu tư và các đặc điểm độc đáo của nó. WELL3, $$WELL là gì? WELL3 là một nền tảng đổi mới được thiết kế để định nghĩa lại cách tiếp cận đối với sức khỏe và phúc lợi. Tập trung vào việc tích hợp DePIN và DID cùng với các hệ thống AI, dự án được thiết kế để tạo ra trải nghiệm người dùng cá nhân hóa trong khi đảm bảo an toàn và quyền riêng tư cho dữ liệu sức khỏe của cá nhân. Với con số ấn tượng hơn một triệu người dùng đã đăng ký trước, sứ mệnh chính của WELL3 xoay quanh việc nâng cao sức khỏe thông qua những hành trình sức khỏe an toàn, dựa trên dữ liệu. Tại cốt lõi của nó, WELL3 sử dụng công nghệ blockchain tiên tiến để đảm bảo rằng người dùng có toàn quyền kiểm soát thông tin cá nhân của họ. Dự án n

Tổng lượt xem 52Xuất bản vào 2024.07.14Cập nhật vào 2024.12.03

$WELL là gì

Làm thế nào để Mua WELL

Chào mừng bạn đến với HTX.com! Chúng tôi đã làm cho mua Moonwell Artemis (WELL) trở nên đơn giản và thuận tiện. Làm theo hướng dẫn từng bước của chúng tôi để bắt đầu hành trình tiền kỹ thuật số của bạn.Bước 1: Tạo Tài khoản HTX của BạnSử dụng email hoặc số điện thoại của bạn để đăng ký tài khoản miễn phí trên HTX. Trải nghiệm hành trình đăng ký không rắc rối và mở khóa tất cả tính năng. Nhận Tài khoản của tôiBước 2: Truy cập Mua Crypto và Chọn Phương thức Thanh toán của BạnThẻ Tín dụng/Ghi nợ: Sử dụng Visa hoặc Mastercard của bạn để mua Moonwell Artemis (WELL) ngay lập tức.Số dư: Sử dụng tiền từ số dư tài khoản HTX của bạn để giao dịch liền mạch.Bên thứ ba: Chúng tôi đã thêm những phương thức thanh toán phổ biến như Google Pay và Apple Pay để nâng cao sự tiện lợi.P2P: Giao dịch trực tiếp với người dùng khác trên HTX.Thị trường mua bán phi tập trung (OTC): Chúng tôi cung cấp những dịch vụ được thiết kế riêng và tỷ giá hối đoái cạnh tranh cho nhà giao dịch.Bước 3: Lưu trữ Moonwell Artemis (WELL) của BạnSau khi mua Moonwell Artemis (WELL), lưu trữ trong tài khoản HTX của bạn. Ngoài ra, bạn có thể gửi đi nơi khác qua chuyển khoản blockchain hoặc sử dụng để giao dịch những tiền kỹ thuật số khác.Bước 4: Giao dịch Moonwell Artemis (WELL)Giao dịch Moonwell Artemis (WELL) dễ dàng trên thị trường giao ngay của HTX. Chỉ cần truy cập vào tài khoản của bạn, chọn cặp giao dịch, thực hiện giao dịch và theo dõi trong thời gian thực. Chúng tôi cung cấp trải nghiệm thân thiện với người dùng cho cả người mới bắt đầu và người giao dịch dày dạn kinh nghiệm.

Tổng lượt xem 213Xuất bản vào 2024.12.10Cập nhật vào 2025.03.21

Làm thế nào để Mua WELL

Thảo luận

Chào mừng đến với Cộng đồng HTX. Tại đây, bạn có thể được thông báo về những phát triển nền tảng mới nhất và có quyền truy cập vào thông tin chuyên sâu về thị trường. Ý kiến ​​của người dùng về giá của WELL (WELL) được trình bày dưới đây.

活动图片

Danh mục Phổ biếnright-arrow

Thẻ Nổi bậtright-arrow