Sebuah 'Ledakan Diri' yang Dirancang dengan Cermat: Analisis Serangan PGNLZ

marsbitXuất bản vào 2026-01-28Cập nhật gần nhất vào 2026-01-28

Tóm tắt

**Analisis Serangan PGNLZ: Eksploitasi Model Ekonomi Deflasioner** Pada 27 Januari 2026, sebuah serangan canggih terjadi pada proyek **PGNLZ** di BNB Smart Chain, mengakibatkan kerugian sekitar **$100.000 USD**. Penyerang memanfaatkan model token deflasioner proyek untuk memanipulasi harga dan menguras pool likuiditas. **Langkah-Langkah Serangan:** 1. Penyerang meminjam flash loan **1.059 BTCB** dari Moolah Protocol. 2. BTCB dijadikan jaminan di Venus Protocol untuk meminjam **30.000.000 USDT**. 3. Sebagian besar USDT (23.337.952) digunakan untuk membeli **982.506 PGNLZ** di PancakeSwap, yang kemudian dikirim ke alamat mati (`0xdead`) untuk **dihancurkan (burn)**. Tindakan ini secara drastis mengurangi suplai token dalam pool. 4. Penyerang kemudian memicu fungsi penjualan (`swapExactTokensForTokensSupportingFeeOnTransferTokens`), yang mengaktifkan mekanisme `_executeBurnFromLP` dalam kontrak. 5. Fungsi ini membakar jumlah PGNLZ yang sangat besar (`pendingBurnFromLP`) dari pool likuiditas, menyisakan hanya **0.00000001 PGNLZ**. 6. Pembakaran masif ini menyebabkan harga PGNLZ melonjak **40 miliar kali lipat**, dari $0.1 menjadi $234 triliun per token. 7. Dengan harga yang dimanipulasi, penyerang mengosongkan pool likuiditas yang tersisa, melunasi pinjaman flash loan, dan meraup keuntungan. **Akar Masalah:** Kerentanan utama terletak pada **model ekonomi deflasioner** yang tidak memiliki pemeriksaan yang memadai saat membakar token dari pool likuiditas. Hal ini memungk...

Latar Belakang

Pada 27 Januari 2026, kami memantau serangan terhadap proyek PGNLZ di BNB Smart Chain:

https://bscscan.com/tx/0xa7488ff4d6a85bf19994748837713c710650378383530ae709aec628023cd7cc

Setelah analisis mendetail, penyerang secara terus-menerus melancarkan serangan terhadap proyek PGNLZ pada 27 Januari 2026, serangan ini menyebabkan kerugian sekitar 100 ribu USD.

Analisis Serangan dan Peristiwa

Penyerang pertama-tama meminjam flash loan sebesar 1.059 BTCB dari Moolah Protocol,

Kemudian, menjaminkan 1.059 BTCB di Venus Protocol, untuk meminjam (borrow) 30.000.000 USDT.

Selanjutnya, penyerang memanggil fungsi swapTokensForExactTokens di PancakeSwap, menggunakan 23.337.952 USDT untuk menukar 982.506 PGNLZ, tetapi kemudian menghancurkan (burn) PGNLZ ini (dikirim ke alamat 0xdead).

Sebelum penukaran, PancakeSwap Pool memiliki 100.901 USDT dan 982.506 PGNLZ, saat itu harga PGNLZ adalah 1 PGNLZ = 0,1 USDT. Setelah penukaran selesai, PancakeSwap Pool menyisakan 23.438.853 USDT dan 4.240 PGNLZ, saat ini harga PGNLZ adalah 1 PGNLZ = 5.528 USDT.

Kemudian, penyerang memanggil fungsi swapExactTokensForTokensSupportingFeeOnTransferTokens, fungsi ini terutama mendukung Token dengan Biaya Transfer (Fee-On Transfer Token), yaitu token yang dikenakan biaya saat jual beli. PGNLZ menggunakan _update untuk menangani biaya transaksi, rantai panggilannya adalah: transferFrom -> _spendAllowance -> _transfer -> _update

Karena kali ini adalah penjualan (sell), maka akan memanggil _handleSellTax.

Mari kita lihat bagaimana _executeBurnFromLP diimplementasikan,

Dapat dilihat, _executeBurnFromLP akan menggunakan _update untuk membakar (burn) sejumlah PGNLZ sebanyak pendingBurnFromLP. Pada blok sebelumnya, query menunjukkan pendingBurnFromLP adalah 4.240.113.074.578.781.194.669.

Setelah pembakaran (burn), LP Pool hanya menyisakan 0,00000001 PGNLZ, saat ini 1 PGNLZ = 234.385.300.000.000 USDT, telah naik 40 Miliar kali lipat.

Akhirnya, penyerang mengosongkan LP Pool, melunasi pinjaman flash loan, dan mendapatkan keuntungan 100 ribu USDT.

Kesimpulan

Penyebab kerentanan ini adalah model ekonomi deflasioner, yang tidak melakukan verifikasi saat memotong biaya atau membakar LP Pool. Hal ini memungkinkan penyerang memanipulasi harga Token dengan memanfaatkan karakteristik deflasioner. Disarankan agar pihak proyek melakukan verifikasi多方验证 (berbagai verifikasi) dalam merancang model ekonomi dan logika operasional kode, serta memilih beberapa perusahaan audit untuk audit silang sebelum kontrak diluncurkan.

Câu hỏi Liên quan

QApa yang menjadi penyebab utama kerentanan dalam proyek PGNLZ yang dieksploitasi oleh penyerang?

APenyebab utamanya adalah model ekonomi deflasioner yang tidak memvalidasi proses pemotongan biaya atau pembakaran (Burn) dari Liquidity Pool (LP), memungkinkan penyerang memanipulasi harga token melalui karakteristik deflasi.

QBagaimana penyerang memanipulasi harga token PGNLZ hingga naik miliaran kali lipat?

APenyerang membakar sejumlah besar PGNLZ (982.506 token) ke alamat 0xdead, mengurangi pasokan di pool secara drastis. Kemudian, melalui fungsi _executeBurnFromLP, hampir semua sisa PGNLZ di pool dibakar, menyisakan hanya 0.00000001 token, sehingga harga naik sekitar 40 miliar kali.

QPlatform apa saja yang digunakan penyerang untuk melakukan serangan ini?

APenyerang menggunakan Moolah Protocol untuk pinjaman kilat (flash loan) BTCB, Venus Protocol sebagai jaminan untuk meminjam USDT, dan PancakeSwap untuk melakukan pertukaran token dan memanipulasi pool likuiditas PGNLZ/USDT.

QBerapa total kerugian yang disebabkan oleh serangan ini terhadap proyek PGNLZ?

ASerangan ini menyebabkan kerugian sekitar 100.000 USD.

QApa rekomendasi yang diberikan untuk mencegah serangan serupa di masa depan?

ARekomendasinya adalah memvalidasi model ekonomi dan logika kode secara menyeluruh, serta melakukan audit oleh beberapa perusahaan audit berbeda (audit silang) sebelum kontrak deploy ke mainnet.

Nội dung Liên quan

43 phút của Trump: Cốt truyện người mạnh mất kiểm soát, chiến tranh truyền thông leo thang

Trong bài diễn văn kéo dài 43 phút sau hơn một tuần vắng bóng công chúng, Tổng thống Mỹ Donald Trump đã cố gắng thể hiện hình ảnh một nhà lãnh đạo mạnh mẽ và kiểm soát. Tuy nhiên, phần lớn thời gian được dành cho các chủ đề phụ như hồ phản chiếu trên National Mall, so sánh quy mô đám đông với Martin Luther King Jr., cùng những lời công kích nhắm vào phóng viên, đảng Dân chủ và các thành phố lớn. Ông còn ký sắc lệnh hành pháp hủy bỏ các biện pháp bảo vệ việc làm cho hàng nghìn công chức cấp cao liên bang, một động thái có thể gia tăng sự phụ thuộc vào lòng trung thành cá nhân hơn là năng lực chuyên môn trong chính phủ. Bài viết nêu bật trạng thái cá nhân đầy lo lắng và phòng thủ của Trump, thể hiện qua việc ông đột ngột kết thúc sự kiện và nhân viên nhanh chóng dọn dẹp hiện trường. Tác giả cũng phân tích cuộc tấn công của Trump vào nữ phóng viên CNN, Kaitlan Collins, coi đó là một phần của nỗ lực làm mất uy tín giới truyền thông. Bài báo cảnh báo về áp lực ngày càng lớn từ quyền lực chính trị và lợi ích thương mại lên các cơ quan báo chí chính thống, dẫn đến cuộc khủng hoảng về tính độc lập biên tập, như trường hợp Scott Pelley của CBS. Thông điệp chính kêu gọi công chúng ủng hộ các nhà báo và phương tiện truyền thông độc lập, những người được coi là lực lượng quan trọng duy trì sự thật khi các thể chế khác bị xâm phạm. Bài viết kết thúc với viễn cảnh lạc quan khi đề cập đến việc Hạ viện, với sự ủng hộ của một số thành viên đảng Cộng hòa, đã thông qua nghị quyết yêu cầu chấm dứt hành động quân sự ở Iran, cho thấy sự bất đồng ngày càng tăng ngay trong nội bộ đảng của Trump.

marsbit4 giờ trước

43 phút của Trump: Cốt truyện người mạnh mất kiểm soát, chiến tranh truyền thông leo thang

marsbit4 giờ trước

Kalshi, MTS và tham vọng của a16z

Trí tuệ thị trường dự đoán và tham vọng "Truyền thông Mới" của a16z Bài viết phân tích sự trỗi dậy của thị trường dự đoán (prediction markets), đặc biệt là công ty Kalshi được định giá 220 tỷ USD, dưới góc nhìn chiến lược đầu tư và truyền thông của quỹ mạo hiểm a16z. Tác giả điểm lại lịch sử tư tưởng của thị trường dự đoán, từ học thuyết của Hayek về việc thị trường tổng hợp tri thức phân tán, đến cơ chế khuyến khích của Robin Hanson (LMSR) và ý tưởng chính phủ dựa trên dự đoán (Futarchy). Trọng tâm bài viết nằm ở việc a16z, sau khi đầu tư vào Kalshi, đã định vị lại giá trị cốt lõi của thị trường dự đoán không chỉ là sòng bạc hay sàn giao dịch, mà là một phương tiện truyền thông mới mang lại "cảm giác hiện diện" (presence). Trong một thế giới ngày càng bị che khuất và bất lực, việc dùng tiền thật để đặt cược vào các sự kiện toàn cầu giúp cá nhân tái khẳng định vai trò "người quan sát tối thượng", can thiệp và diễn giải thực tại. Kalshi, theo logic này, sẽ trở thành nơi định đoạt tính xác thực và tầm quan trọng của sự kiện. Bài viết liên kết điều này với tầm nhìn "Truyền thông Mới" của a16z – một hệ thống truyền thông toàn diện từ định hình luận điệu, tài trợ, phát hành sản phẩm đến thu hút khách hàng với tốc độ và cường độ chưa từng có, nhằm "tiếp quản dòng thời gian". Ví dụ điển hình là MTS (Monitoring The Situation), một hãng truyền thông chuyên phát sóng tin tức 24/7 trên Twitter. Kết luận cho rằng sức hút thực sự của Kalshi và lý do định giá khổng lồ của nó nằm ở "trường lực bẻ cong hiện thực" – khả năng tạo ra một thực tại thay thế có sức thuyết phục cao nhờ vào khối lượng giao dịch bằng tiền thật, từ đó trở thành một mảnh ghép quyền lực trong đế chế truyền thông mới của a16z.

marsbit5 giờ trước

Kalshi, MTS và tham vọng của a16z

marsbit5 giờ trước

Bất Ngờ: Cựu Nhân Sự Trụ Cột Trong Dự Án Chip Của OpenAI Gia Nhập Anthropic

Chuyên gia chip "nhân viên số 002" của OpenAI, Clive Chan, vừa thông báo rời OpenAI để gia nhập Anthropic. Anh là một trong những thành viên sớm nhất của đội ngũ phát triển chip tự thiết kế của OpenAI, tham gia từ giai đoạn hình thành đến nay. Dù đánh giá cao đội ngũ chip tại OpenAI, Clive Chan chia sẻ anh luôn có mong muốn "chinh phục một ngọn núi mới từ chân núi", đó là lý do anh chuyển sang Anthropic. Tại Anthropic, anh ấn tượng với năng lực, giá trị cốt lõi và tham vọng của đội ngũ, đồng thời trải nghiệm cường độ làm việc rất cao. Khi được hỏi về tiến độ dự án chip của OpenAI, Clive Chan đề cập đến thông tin hợp tác công khai giữa OpenAI và Broadcom, với kế hoạch triển khai bắt đầu từ nửa cuối năm 2026. Clive Chan có kinh nghiệm làm việc tại nhiều công ty công nghệ hàng đầu như Tesla, Google, SpaceX trước khi gia nhập OpenAI vào đầu năm 2024. Việc chuyển đổi của anh là một ví dụ nữa cho thấy dòng chảy nhân tài đáng chú ý giữa OpenAI và Anthropic, sau sự kiện nhà nghiên cứu nổi tiếng Andrej Karpathy chuyển sang Anthropic hồi tháng 5. Động thái này càng thu hút sự chú ý khi Anthropic vừa hoàn thành vòng gọi vốn với định giá gần 1.000 tỷ USD.

marsbit5 giờ trước

Bất Ngờ: Cựu Nhân Sự Trụ Cột Trong Dự Án Chip Của OpenAI Gia Nhập Anthropic

marsbit5 giờ trước

a16z chuyển hướng toàn cầu hóa: VC đang trở thành "động lực thúc đẩy" của liên minh công nghệ Mỹ

Biên tập: Thông báo của Ben Horowitz cho thấy một bước chuyển quan trọng trong chiến lược toàn cầu hóa của a16z: họ không chỉ tìm kiếm dự án ở nước ngoài hay mở rộng đầu tư quốc tế, mà còn đặt mình vào khuôn khổ cạnh tranh công nghệ và hợp tác đồng minh rộng lớn hơn. Trong bối cảnh AI, robot, công nghệ quốc phòng, an ninh mạng và tái cấu trúc chuỗi cung ứng trở thành trọng tâm cạnh tranh quốc gia, con đường quốc tế hóa của startup trở nên phức tạp hơn. A16z đang phản ứng với sự thay đổi này thông qua việc thành lập văn phòng Tokyo, bổ nhiệm Anne Neuberger phụ trách các vấn đề toàn cầu, và nâng cấp nhóm quan hệ nhà đầu tư thành nhóm đối tác toàn cầu. Tín hiệu quan trọng nhất là a16z gắn kết mạng lưới toàn cầu của mình với năng lực lãnh đạo công nghệ của "Mỹ và các đồng minh". Đối với a16z, mạng lưới đầu tư mạo hiểm trong tương lai không chỉ giúp nhà sáng lập gọi vốn, tuyển dụng, bán hàng mà còn hỗ trợ họ tiếp cận thị trường trọng điểm, kết nối với chính phủ và các tổ chức chiến lược, cũng như hiểu rõ môi trường chính sách và quy định của các quốc gia khác nhau. Điều này có nghĩa vai trò của các tổ chức đầu tư mạo hiểm hàng đầu đang được định nghĩa lại. Họ không còn chỉ là trung gian vốn, mà là người tổ chức kết nối công ty khởi nghiệp, năng lực quốc gia, nguồn lực ngành, hệ thống đồng minh và vốn toàn cầu. Chiến lược toàn cầu hóa lần này của a16z có thể được xem như một sự chủ động định vị của vốn Silicon Valley trong cuộc cạnh tranh công nghệ toàn cầu mới.

marsbit6 giờ trước

a16z chuyển hướng toàn cầu hóa: VC đang trở thành "động lực thúc đẩy" của liên minh công nghệ Mỹ

marsbit6 giờ trước

Kalshi, MTS và Tham vọng của a16z

Bài viết phân tích tầm quan trọng của thị trường dự đoán (prediction markets), tập trung vào Kalshi, và tầm nhìn của quỹ đầu tư mạo hiểm a16z trong việc xây dựng một đế chế truyền thông mới. Tác giả điểm qua lịch sử tư tưởng đằng sau thị trường dự đoán, từ lý thuyết của Hayek về việc thị trường tổng hợp tri thức phân tán, đến cơ chế khuyến khích của Robin Hanson (LMSR) và ý tưởng "Futarchy". Trọng tâm bài viết là việc a16z đầu tư mạnh vào Kalshi (định giá 220 tỷ USD) và cách họ diễn giải giá trị cốt lõi của nó: mang lại "cảm giác hiện diện" (presence). Trong một thế giới mà con người ngày càng thụ động và xa cách với thực tại, thị trường dự đoán cho phép họ tham gia tích cực bằng cách dùng tiền thật để đặt cược vào các sự kiện, từ đó cảm thấy mình là người quan sát và dự báo lịch sử. a16z coi đây là mảnh ghép quan trọng cho tham vọng "truyền thông mới" của họ - một hệ thống toàn diện từ định hình narrative, tài trợ sản phẩm, đến tiếp cận khách hàng với tốc độ cực cao, nhằm "tiếp quản dòng thời gian". Công ty truyền thông MTS (Monitoring The Situation) là một ví dụ điển hình cho triết lý này. Bài viết kết luận rằng sức mạnh thực sự của Kalshi và thị trường dự đoán nằm ở "trường lực bẻ cong hiện thực" - khả năng định nghĩa tính xác thực và tầm quan trọng của sự kiện thông qua khối lượng giao dịch bằng tiền thật, từ đó giành được quyền giải thích tối cao về tương lai, một thứ quyền lực hiếm khi nằm trong tay một công ty tư nhân.

链捕手6 giờ trước

Kalshi, MTS và Tham vọng của a16z

链捕手6 giờ trước

Giao dịch

Giao ngay
Hợp đồng Tương lai

Bài viết Nổi bật

$WELL là gì

WELL3, $$WELL: Cách mạng hóa sức khỏe và phúc lợi với DePIN và AI Giới thiệu Trong bối cảnh công nghệ số đang phát triển mạnh mẽ, lĩnh vực sức khỏe và phúc lợi đứng ở vị trí tiên phong trong đổi mới, nỗ lực nâng cao chất lượng chăm sóc bệnh nhân và thúc đẩy lối sống lành mạnh hơn. Một người chơi tiên phong trong lĩnh vực này là WELL3, một dự án Web3 đột phá nhằm cách mạng hóa cách mà các cá nhân tương tác với sức khỏe của họ. Bằng cách tận dụng các công nghệ như Mạng Cơ sở Hạ tầng Vật lý Phi tập trung (DePIN), Danh tính Phi tập trung (DID) và Trí tuệ Nhân tạo (AI), WELL3 hướng tới việc tạo ra những hành trình sức khỏe an toàn, được hỗ trợ bằng dữ liệu. Bài viết toàn diện này đi sâu vào các khía cạnh cốt lõi của WELL3, $$WELL, khám phá các chức năng, người sáng tạo, nhà đầu tư và các đặc điểm độc đáo của nó. WELL3, $$WELL là gì? WELL3 là một nền tảng đổi mới được thiết kế để định nghĩa lại cách tiếp cận đối với sức khỏe và phúc lợi. Tập trung vào việc tích hợp DePIN và DID cùng với các hệ thống AI, dự án được thiết kế để tạo ra trải nghiệm người dùng cá nhân hóa trong khi đảm bảo an toàn và quyền riêng tư cho dữ liệu sức khỏe của cá nhân. Với con số ấn tượng hơn một triệu người dùng đã đăng ký trước, sứ mệnh chính của WELL3 xoay quanh việc nâng cao sức khỏe thông qua những hành trình sức khỏe an toàn, dựa trên dữ liệu. Tại cốt lõi của nó, WELL3 sử dụng công nghệ blockchain tiên tiến để đảm bảo rằng người dùng có toàn quyền kiểm soát thông tin cá nhân của họ. Dự án n

Tổng lượt xem 52Xuất bản vào 2024.07.14Cập nhật vào 2024.12.03

$WELL là gì

Làm thế nào để Mua WELL

Chào mừng bạn đến với HTX.com! Chúng tôi đã làm cho mua Moonwell Artemis (WELL) trở nên đơn giản và thuận tiện. Làm theo hướng dẫn từng bước của chúng tôi để bắt đầu hành trình tiền kỹ thuật số của bạn.Bước 1: Tạo Tài khoản HTX của BạnSử dụng email hoặc số điện thoại của bạn để đăng ký tài khoản miễn phí trên HTX. Trải nghiệm hành trình đăng ký không rắc rối và mở khóa tất cả tính năng. Nhận Tài khoản của tôiBước 2: Truy cập Mua Crypto và Chọn Phương thức Thanh toán của BạnThẻ Tín dụng/Ghi nợ: Sử dụng Visa hoặc Mastercard của bạn để mua Moonwell Artemis (WELL) ngay lập tức.Số dư: Sử dụng tiền từ số dư tài khoản HTX của bạn để giao dịch liền mạch.Bên thứ ba: Chúng tôi đã thêm những phương thức thanh toán phổ biến như Google Pay và Apple Pay để nâng cao sự tiện lợi.P2P: Giao dịch trực tiếp với người dùng khác trên HTX.Thị trường mua bán phi tập trung (OTC): Chúng tôi cung cấp những dịch vụ được thiết kế riêng và tỷ giá hối đoái cạnh tranh cho nhà giao dịch.Bước 3: Lưu trữ Moonwell Artemis (WELL) của BạnSau khi mua Moonwell Artemis (WELL), lưu trữ trong tài khoản HTX của bạn. Ngoài ra, bạn có thể gửi đi nơi khác qua chuyển khoản blockchain hoặc sử dụng để giao dịch những tiền kỹ thuật số khác.Bước 4: Giao dịch Moonwell Artemis (WELL)Giao dịch Moonwell Artemis (WELL) dễ dàng trên thị trường giao ngay của HTX. Chỉ cần truy cập vào tài khoản của bạn, chọn cặp giao dịch, thực hiện giao dịch và theo dõi trong thời gian thực. Chúng tôi cung cấp trải nghiệm thân thiện với người dùng cho cả người mới bắt đầu và người giao dịch dày dạn kinh nghiệm.

Tổng lượt xem 223Xuất bản vào 2024.12.10Cập nhật vào 2026.06.02

Làm thế nào để Mua WELL

Thảo luận

Chào mừng đến với Cộng đồng HTX. Tại đây, bạn có thể được thông báo về những phát triển nền tảng mới nhất và có quyền truy cập vào thông tin chuyên sâu về thị trường. Ý kiến ​​của người dùng về giá của WELL (WELL) được trình bày dưới đây.

活动图片

Danh mục Phổ biếnright-arrow

Thẻ Nổi bậtright-arrow