Une « autodestruction » soigneusement conçue : Analyse de l'attaque PGNLZ

marsbitXuất bản vào 2026-01-28Cập nhật gần nhất vào 2026-01-28

Tóm tắt

Une attaque soigneusement planifiée contre le projet PGNLZ sur BNB Smart Chain a été détectée le 27 janvier 2026, causant une perte d’environ 100 000 USD. L’attaquant a utilisé un flash loan de 1 059 BTCB via Moolah Protocol, puis les a déposés comme garantie sur Venus Protocol pour emprunter 30 000 000 USDT. Ensuite, l’attaquant a échangé 23 337 952 USDT contre 982 506 PGNLZ sur PancakeSwap, mais a immédiatement brûlé ces tokens (en les envoyant à l’adresse 0xdead). Cette action a drastiquement réduit l’offre de PGNLZ dans le pool, faisant monter son prix de 0,1 USDT à 5 528 USDT. L’attaquant a ensuite exploité la fonction de taxe de vente (Fee-On Transfer) du token, qui déclenchait un mécanisme de brûlage (_executeBurnFromLP) supprimant presque entièrement les tokens restants du pool. Le prix a alors été artificiellement gonflé à 234 385 300 000 000 USDT par PGNLZ, permettant à l’attaquant de vider le pool et de réaliser un profit après remboursement du prêt. La cause principale de cette vulnérabilité est un modèle économique déflationniste mal sécurisé, sans vérification adéquate lors des opérations de taxation ou de brûlage. Il est recommandé aux projets de bien valider leurs mécanismes économiques et de réaliser des audits croisés avant le déploiement.

Contexte

Le 27 janvier 2026, nous avons détecté une attaque sur le projet PGNLZ sur le BNB Smart Chain :

https://bscscan.com/tx/0xa7488ff4d6a85bf19994748837713c710650378383530ae709aec628023cd7cc

Après une analyse détaillée, l'attaquant a lancé une attaque soutenue contre le projet PGNLZ le 27 janvier 2026, causant une perte d'environ 100 000 USD.

Analyse de l'attaque et de l'événement

L'attaquant a d'abord emprunté 1 059 BTCB via un flash loan auprès de Moolah Protocol,

Puis, il a déposé ces 1 059 BTCB en collatéral sur Venus Protocol pour emprunter 30 000 000 USDT.

Ensuite, l'attaquant a appelé la fonction `swapTokensForExactTokens` sur PancakeSwap, utilisant 23 337 952 USDT pour échanger contre 982 506 PGNLZ, mais a ensuite brûlé ces PGNLZ (en les envoyant à l'adresse 0xdead).

Avant l'échange, le pool PancakeSwap contenait 100 901 USDT et 982 506 PGNLZ, le prix du PGNLZ était donc de 1 PGNLZ = 0,1 USDT. Après l'échange, le pool PancakeSwap contenait 23 438 853 USDT et 4 240 PGNLZ, le prix du PGNLZ est alors passé à 1 PGNLZ = 5 528 USDT.

Par la suite, l'attaquant a appelé la fonction `swapExactTokensForTokensSupportingFeeOnTransferTokens`, une fonction conçue pour prendre en charge les tokens avec frais de transfert (Fee-On Transfer Token). PGNLZ utilise `_update` pour gérer les frais de transaction, la chaîne d'appel spécifique étant : `transferFrom` -> `_spendAllowance` -> `_transfer` -> `_update`.

Comme il s'agissait d'une vente (sell), la fonction `_handleSellTax` a été appelée.

Examinons comment `_executeBurnFromLP` est implémentée,

On peut voir que `_executeBurnFromLP` utilise `_update` pour brûler la quantité de PGNLZ définie par `pendingBurnFromLP`. Le bloc précédent indiquait que `pendingBurnFromLP` était de 4 240 113 074 578 781 194 669.

Après le burn, il ne restait plus que 0,00000001 PGNLZ dans le pool de liquidité (LP Pool), le prix est alors passé à 1 PGNLZ = 234 385 300 000 000 USDT, soit une multiplication par 40 milliards.

Enfin, l'attaquant a vidé le LP Pool, a remboursé le flash loan, et a réalisé un profit de 100 000 USDT.

Conclusion

La cause de cette vulnérabilité réside dans le modèle économique déflationniste, qui ne valide pas les frais prélevés ou la combustion du pool de liquidité. Cela a permis à l'attaquant de manipuler le prix du token en exploitant ses caractéristiques déflationnistes. Il est recommandé aux projets de valider minutieusement la conception de leur modèle économique et la logique d'exécution du code, et de privilégier un audit croisé par plusieurs sociétés d'audit avant le déploiement du contrat.

Câu hỏi Liên quan

QQuel est la cause principale de l'attaque contre le projet PGNLZ sur BNB Smart Chain ?

ALa cause principale est le modèle économique déflationniste du token, avec une vulnérabilité dans la vérification lors des frais de transaction ou de la destruction des tokens du pool de liquidité, permettant à l'attaquant de manipuler le prix.

QComment l'attaquant a-t-il initialement obtenu les fonds pour lancer l'attaque ?

AL'attaquant a obtenu un flash loan de 1 059 BTCB auprès de Moolah Protocol, qu'il a ensuite utilisé comme garantie pour emprunter 30 000 000 USDT sur Venus Protocol.

QQuelle action spécifique a provoqué l'augmentation massive du prix du PGNLZ ?

AL'attaquant a brûlé une énorme quantité de PGNLZ (4 240 113 074 578 781 194 669 tokens) via la fonction _executeBurnFromLP, ne laissant que 0,00000001 PGNLZ dans le pool, ce qui a fait monter le prix de 40 milliards de fois.

QQuel était le prix du PGNLZ avant et après la manipulation par l'attaquant ?

AAvant la manipulation : 1 PGNLZ = 0,1 USDT. Après la manipulation : 1 PGNLZ = 234 385 300 000 000 USDT.

QQuelle est la recommandation principale pour éviter ce type d'attaque à l'avenir ?

AIl est recommandé de valider soigneusement le modèle économique et la logique du code, et de faire auditer le contrat par plusieurs sociétés d'audit différentes avant son déploiement.

Nội dung Liên quan

ETF Bitcoin Giao Ngay Ghi Nhận Dòng Tiền Rút Ròng 1,26 Tỷ USD – Mức Cao Nhất Trong 3 Tháng – Chi Tiết

Các quỹ ETF Bitcoin spot tại Mỹ đã ghi nhận dòng tiền ròng rút kỷ lục trong 3 tháng, với tổng cộng 1,26 tỷ USD chảy ra trong tuần trước. Đây là đợt rút tiền mạnh nhất kể từ cuối tháng 1. Thị trường trải qua 6 ngày giao dịch liên tiếp với dòng tiền ra, trong đó thứ Hai là ngày tồi tệ nhất với 648,64 triệu USD. Trong số các quỹ lớn, BlackRock IBIT chịu tác động nặng nề nhất với hơn 1 tỷ USD rút ròng, mặc dù vẫn dẫn đầu thị trường về tổng tài sản. Fidelity và Ark/21 Shares cũng ghi nhận dòng tiền ra đáng kể. Chỉ có quỹ mới MSBT của Morgan Stanley có dòng tiền vào nhỏ. Tính đến nay trong tháng 5, toàn bộ nhóm ETF Bitcoin spot đã mất 1 tỷ USD giá trị ròng. Tình hình cũng ảm đạm với các quỹ ETF Ethereum, khi chúng hứng chịu 10 ngày liên tiếp dòng tiền ra, tổng cộng 471,1 triệu USD trong khoảng thời gian này. Bất chấp dòng tiền rút mạnh, giá Bitcoin và Ethereum vẫn tăng nhẹ vào thời điểm báo cáo.

bitcoinist4 giờ trước

ETF Bitcoin Giao Ngay Ghi Nhận Dòng Tiền Rút Ròng 1,26 Tỷ USD – Mức Cao Nhất Trong 3 Tháng – Chi Tiết

bitcoinist4 giờ trước

DeepSeek Hạ Giá Vĩnh Viễn, Nhưng Lương Văn Phong Không Muốn Làm "Bồ Tát Công Nghệ"

DeepSeek vừa công bố áp dụng mức giảm giá 75% vĩnh viễn cho API V4-Pro, với giá đầu vào cơ bản giảm từ 1,74 USD xuống 0,435 USD cho mỗi triệu token, trong khi toàn ngành AI đang có xu hướng tăng giá. Động thái này củng cố biệt danh “Pinduoduo của AI” của họ. Giữa lúc các gã khổng lồ như OpenAI, Anthropic và Google âm thầm tăng phí, DeepSeek đi ngược lại bằng chiến lược định giá thấp bền vững. Bài viết phân tích rằng đây không đơn thuần là hành động “từ thiện” của CEO Lương Văn Phong, mà là một lựa chọn chiến lược dựa trên lợi thế cạnh tranh hệ thống của Trung Quốc. Các lợi thế này bao gồm nguồn nhân lực AI với chi phí hợp lý hơn, đặc biệt là nền tảng năng lượng với giá điện công nghiệp thấp (chỉ bằng 1/5 đến 1/4 so với Mỹ và châu Âu), chiếm tới 60-70% chi phí vận hành mô hình AI. Việc DeepSeek lên kế hoạch xây dựng trung tâm dữ liệu ở khu vực phía Tây như Nội Mông càng tối ưu hóa lợi thế này. Trong khi các mô hình đóng (closed-source) thống trị về mặt hiệu năng đỉnh cao, DeepSeek nhắm đến thị trường đại chúng rộng lớn hơn với nhu cầu “đủ dùng, ổn định và cực rẻ”. Khi AI ngày càng đắt đỏ, thì mô hình “vừa phải nhưng cực kỳ tiết kiệm chi phí” của DeepSeek càng trở nên hấp dẫn, cho phép doanh nghiệp thử nghiệm và triển khai nhiều hơn với cùng một ngân sách. Chiến lược mã nguồn mở và giá cả thấp của họ không chỉ là một mô hình kinh doanh khả thi, mà còn đặt ra một cuộc cạnh tranh định giá token toàn cầu, đặc biệt trong bối cảnh cạnh tranh công nghệ giữa các quốc gia.

marsbit8 giờ trước

DeepSeek Hạ Giá Vĩnh Viễn, Nhưng Lương Văn Phong Không Muốn Làm "Bồ Tát Công Nghệ"

marsbit8 giờ trước

Tất Cả Mọi Người Đều Đang Kêu Gọi Giá Bitcoin Thấp Hơn: Tại Sao Đây Là Thời Điểm Hoàn Hảo Để Tăng Vọt

Chuyên gia phân tích tiền mã hóa Crypto Fergani nhận định thị trường hiện đang chìm trong tâm lý bi quan về giá Bitcoin sau đợt từ chối gần mức 83.000 USD, với nhiều người kỳ vọng mục tiêu thấp hơn. Tuy nhiên, ông phản bác quan điểm này, chỉ ra rằng không có tin tức xấu nào về Bitcoin, trong khi các tin tốt như việc các tổ chức lớn tích lũy BTC và tốc độ chấp nhận toàn cầu tăng vẫn tiếp diễn. Fergani tin rằng Bitcoin sắp bước vào giai đoạn tăng giá mạnh (parabolic), nhắm mốc cao kỷ lục mới, có thể lên tới 128.000 USD (tăng hơn 72%), đồng thời kéo theo đà tăng cho các altcoin. Ông so sánh với chu kỳ 2022 khi BTC tăng 54,2% sau giai đoạn đi ngang và cảnh báo nhà đầu tư không nên bỏ lỡ đợt tăng này. Trái ngược với quan điểm lạc quan, một số nhà phân tích khác như Bee vẫn thận trọng, cho rằng Bitcoin đang trong giai đoạn cuối của chu kỳ trước khi tìm đáy thực sự. Bee chỉ ra mô hình đỉnh thấp hơn và đáy thấp hơn, cùng với áp lực bán ở mỗi đợt phục hồi. Ông dự báo một đợt lao dốc mạnh về vùng 47.000 - 52.000 USD, nơi có thể là đáy cuối cùng để thiết lập một chu kỳ bull market mới. Bitcoin hiện giao dịng quanh mức 74.645 USD.

bitcoinist9 giờ trước

Tất Cả Mọi Người Đều Đang Kêu Gọi Giá Bitcoin Thấp Hơn: Tại Sao Đây Là Thời Điểm Hoàn Hảo Để Tăng Vọt

bitcoinist9 giờ trước

Bức màn bí ẩn của Mythos trở thành đòn bẩy giúp Anthropic huy động nghìn tỷ đô la

Bài báo phân tích chiến lược định giá và tiếp thị của Anthropic, đặc biệt tập trung vào mô hình AI bí ẩn "Mythos" và dự án bảo mật "Glasswing". Dù chưa được công bố rộng rãi, Anthropic thành công trong việc tạo ra một câu chuyện về sức mạnh và trách nhiệm xung quanh Mythos, biến "khả năng không thể kiểm chứng" thành "giá trị có thể tưởng tượng" để thu hút đầu tư. Điều này được củng cố bởi thông tin về việc chính phủ Mỹ (như NSA) có thể đang sử dụng công nghệ này bất chấp các lo ngại trước đó, và bởi khoản đầu tư khổng lồ 400 tỷ USD từ Google - một đối thủ cạnh tranh. Những yếu tố này, cùng với tốc độ tăng doanh thu ấn tượng được báo cáo (vượt 30 tỷ USD), giúp Anthropic thúc đẩy định giá lên tới 9000 tỷ USD trong đợt gọi vốn sắp tới. Bài báo kết luận rằng mô hình kinh doanh thực sự của Anthropic là đóng gói các tường thuật về công nghệ, an ninh và quan hệ chính phủ thành một câu chuyện thuyết phục để huy động vốn, thay vì chứng minh sức mạnh của sản phẩm trước công chúng.

marsbit10 giờ trước

Bức màn bí ẩn của Mythos trở thành đòn bẩy giúp Anthropic huy động nghìn tỷ đô la

marsbit10 giờ trước

Quy Định Stablecoin: FDIC Thông Báo Các Quy Tắc AML Mới Đề Xuất Cho Các Tổ Chức Phát Hành

Trong bối cảnh quy định về tiền mã hóa đang dần định hình tại Mỹ, Tổng công ty Bảo hiểm Tiền gửi Liên bang (FDIC) vừa đề xuất một quy tắc mới nhằm áp dụng các tiêu chuẩn tuân thủ Đạo luật Bí mật Ngân hàng (BSA) và trừng phạt kinh tế lên các tổ chức phát hành stablecoin được phép thanh toán (PPSI) do FDIC giám sát. Động thái này nhằm đưa các tổ chức phát hành tài sản số vào khuôn khổ tuân thủ vốn đã chi phối ngành ngân hàng truyền thống từ lâu. Theo đề xuất, các PPSI sẽ bị phân loại là tổ chức tài chính theo BSA, yêu cầu họ phải thiết lập đầy đủ chương trình chống rửa tiền (AML), cơ cấu tuân thủ trừng phạt phù hợp với OFAC, cùng các nghĩa vụ báo cáo. Các yêu cầu cụ thể bao gồm kiểm soát nội bộ, nhân sự tuân thủ được chỉ định, đào tạo nhân viên, kiểm tra độc lập, nhận diện khách hàng, báo cáo hoạt động đáng ngờ và khả năng sàng lọc giao dịch trên chuỗi. Về giám sát và thực thi, FDIC phải thông báo cho Giám đốc FinCEN ít nhất 30 ngày trước khi khởi động bất kỳ hành động thực thi chính thức nào liên quan đến chương trình AML/CFT của PPSI. Tuy nhiên, các PPSI có chương trình AML/CFT hiệu quả sẽ được bảo vệ khỏi hành động thực thi trong hầu hết trường hợp, trừ khi có "sự thất bại đáng kể hoặc có hệ thống" trong việc triển khai. Giai đoạn lấy ý kiến công chúng dự kiến kéo dài đến ngày 9 tháng 6 năm 2026, với quy tắc cuối cùng sẽ được công bố sau đó cùng năm. FDIC ước tính từ 5 đến 30 PPSI có thể tìm kiếm sự chấp thuận trong những năm đầu tiên sau khi luật có hiệu lực.

bitcoinist10 giờ trước

Quy Định Stablecoin: FDIC Thông Báo Các Quy Tắc AML Mới Đề Xuất Cho Các Tổ Chức Phát Hành

bitcoinist10 giờ trước

Giao dịch

Giao ngay

Hợp đồng Tương lai

Bài viết Nổi bật

$WELL là gì

WELL3, $$WELL: Cách mạng hóa sức khỏe và phúc lợi với DePIN và AI Giới thiệu Trong bối cảnh công nghệ số đang phát triển mạnh mẽ, lĩnh vực sức khỏe và phúc lợi đứng ở vị trí tiên phong trong đổi mới, nỗ lực nâng cao chất lượng chăm sóc bệnh nhân và thúc đẩy lối sống lành mạnh hơn. Một người chơi tiên phong trong lĩnh vực này là WELL3, một dự án Web3 đột phá nhằm cách mạng hóa cách mà các cá nhân tương tác với sức khỏe của họ. Bằng cách tận dụng các công nghệ như Mạng Cơ sở Hạ tầng Vật lý Phi tập trung (DePIN), Danh tính Phi tập trung (DID) và Trí tuệ Nhân tạo (AI), WELL3 hướng tới việc tạo ra những hành trình sức khỏe an toàn, được hỗ trợ bằng dữ liệu. Bài viết toàn diện này đi sâu vào các khía cạnh cốt lõi của WELL3, $$WELL, khám phá các chức năng, người sáng tạo, nhà đầu tư và các đặc điểm độc đáo của nó. WELL3, $$WELL là gì? WELL3 là một nền tảng đổi mới được thiết kế để định nghĩa lại cách tiếp cận đối với sức khỏe và phúc lợi. Tập trung vào việc tích hợp DePIN và DID cùng với các hệ thống AI, dự án được thiết kế để tạo ra trải nghiệm người dùng cá nhân hóa trong khi đảm bảo an toàn và quyền riêng tư cho dữ liệu sức khỏe của cá nhân. Với con số ấn tượng hơn một triệu người dùng đã đăng ký trước, sứ mệnh chính của WELL3 xoay quanh việc nâng cao sức khỏe thông qua những hành trình sức khỏe an toàn, dựa trên dữ liệu. Tại cốt lõi của nó, WELL3 sử dụng công nghệ blockchain tiên tiến để đảm bảo rằng người dùng có toàn quyền kiểm soát thông tin cá nhân của họ. Dự án n

Tổng lượt xem 52Xuất bản vào 2024.07.14Cập nhật vào 2024.12.03

Làm thế nào để Mua WELL

Chào mừng bạn đến với HTX.com! Chúng tôi đã làm cho mua Moonwell Artemis (WELL) trở nên đơn giản và thuận tiện. Làm theo hướng dẫn từng bước của chúng tôi để bắt đầu hành trình tiền kỹ thuật số của bạn.Bước 1: Tạo Tài khoản HTX của BạnSử dụng email hoặc số điện thoại của bạn để đăng ký tài khoản miễn phí trên HTX. Trải nghiệm hành trình đăng ký không rắc rối và mở khóa tất cả tính năng. Nhận Tài khoản của tôiBước 2: Truy cập Mua Crypto và Chọn Phương thức Thanh toán của BạnThẻ Tín dụng/Ghi nợ: Sử dụng Visa hoặc Mastercard của bạn để mua Moonwell Artemis (WELL) ngay lập tức.Số dư: Sử dụng tiền từ số dư tài khoản HTX của bạn để giao dịch liền mạch.Bên thứ ba: Chúng tôi đã thêm những phương thức thanh toán phổ biến như Google Pay và Apple Pay để nâng cao sự tiện lợi.P2P: Giao dịch trực tiếp với người dùng khác trên HTX.Thị trường mua bán phi tập trung (OTC): Chúng tôi cung cấp những dịch vụ được thiết kế riêng và tỷ giá hối đoái cạnh tranh cho nhà giao dịch.Bước 3: Lưu trữ Moonwell Artemis (WELL) của BạnSau khi mua Moonwell Artemis (WELL), lưu trữ trong tài khoản HTX của bạn. Ngoài ra, bạn có thể gửi đi nơi khác qua chuyển khoản blockchain hoặc sử dụng để giao dịch những tiền kỹ thuật số khác.Bước 4: Giao dịch Moonwell Artemis (WELL)Giao dịch Moonwell Artemis (WELL) dễ dàng trên thị trường giao ngay của HTX. Chỉ cần truy cập vào tài khoản của bạn, chọn cặp giao dịch, thực hiện giao dịch và theo dõi trong thời gian thực. Chúng tôi cung cấp trải nghiệm thân thiện với người dùng cho cả người mới bắt đầu và người giao dịch dày dạn kinh nghiệm.

Tổng lượt xem 213Xuất bản vào 2024.12.10Cập nhật vào 2025.03.21

Thảo luận

Chào mừng đến với Cộng đồng HTX. Tại đây, bạn có thể được thông báo về những phát triển nền tảng mới nhất và có quyền truy cập vào thông tin chuyên sâu về thị trường. Ý kiến của người dùng về giá của WELL (WELL) được trình bày dưới đây.

Danh mục Phổ biến

Bitcoin1,666 tin tức