Một Vụ "Tự Nổ" Được Thiết Kế Tinh Vi: Phân Tích Sự Kiện Tấn Công PGNLZ

marsbit发布于2026-01-28更新于2026-01-28

文章摘要

Phân tích sự kiện tấn công PGNLZ: Vào ngày 27/1/2026, tin tặc đã khai thác lỗ hổng trong dự án PGNLZ trên BNB Smart Chain, gây thiệt hại khoảng 100.000 USD. Tin tặc sử dụng flash loan từ Moolah Protocol để vay 1.059 BTCB, sau đó thế chấp trên Venus Protocol để vay 30.000.000 USDT. Tiếp theo, họ chuyển đổi 23.337.952 USDT lấy 982.506 PGNLZ trên PancakeSwap rồi chuyển số token này vào ví 0xdead (hủy token). Hành động này làm thay đổi tỷ lệ trong pool, đẩy giá PGNLZ từ 0,1 USDT lên 5.528 USDT. Tin tặc sau đó gọi hàm swapExactTokensForTokensSupportingFeeOnTransferTokens, kích hoạt cơ chế tính phí _handleSellTax và _executeBurnFromLP, khiến LP Pool bị đốt gần như toàn bộ token (chỉ còn 0,00000001 PGNLZ). Giá token tăng vọt 40 tỷ lần, cho phép tin tặc rút toàn bộ pool, trả lại flash loan và thu lợi 100.000 USD. Nguyên nhân lỗi đến từ mô hình kinh tế giảm phát không được kiểm tra kỹ, cho phép thao túng giá. Khuyến nghị dự án nên kiểm tra chéo hợp đồng với nhiều đơn vị audit trước khi triển khai.

Giới Thiệu Bối Cảnh

Vào ngày 27 tháng 1 năm 2026, chúng tôi đã giám sát được một sự kiện tấn công nhắm vào dự án PGNLZ trên BNB Smart Chain:

https://bscscan.com/tx/0xa7488ff4d6a85bf19994748837713c710650378383530ae709aec628023cd7cc

Sau khi phân tích chi tiết, kẻ tấn công đã liên tục phát động các cuộc tấn công vào dự án PGNLZ vào ngày 27 tháng 1 năm 2026, vụ tấn công đã gây thiệt hại khoảng 100.000 USD.

Phân Tích Sự Kiện và Cuộc Tấn Công

Kẻ tấn công đầu tiên đã vay flash loan 1.059 BTCB từ Moolah Protocol,

Sau đó, thế chấp 1.059 BTCB trong Venus Protocol, để vay 30.000.000 USDT.

Tiếp theo, kẻ tấn công đã gọi hàm swapTokensForExactTokens trên PancakeSwap, sử dụng 23.337.952 USDT để đổi lấy 982.506 PGNLZ, nhưng lại đốt (chuyển đến 0xdead) số PGNLZ này.

Trước khi hoán đổi, PancakeSwap Pool có 100.901 USDT và 982.506 PGNLZ, lúc này giá PGNLZ là 1 PGNLZ = 0,1 USDT. Sau khi hoán đổi, PancakeSwap Pool còn lại 23.438.853 USDT và 4.240 PGNLZ, lúc này, giá PGNLZ là 1 PGNLZ = 5.528 USDT.

Sau đó, kẻ tấn công gọi hàm swapExactTokensForTokensSupportingFeeOnTransferTokens, hàm này chủ yếu hỗ trợ Token có phí chuyển khoản (Fee-On Transfer Token). PGNLZ sử dụng _update để xử lý phí giao dịch, chuỗi gọi cụ thể là: transferFrom -> _spendAllowance -> _transfer -> _update

Vì lần này là bán (sell), nên sẽ gọi đến _handleSellTax.

Chúng ta hãy xem _executeBurnFromLP được triển khai như thế nào,

Có thể thấy, _executeBurnFromLP sẽ sử dụng _update để đốt số lượng PGNLZ pendingBurnFromLP. Ở block trước đó, truy vấn được pendingBurnFromLP là 4.240.113.074.578.781.194.669.

Sau khi đốt, LP Pool chỉ còn lại 0,00000001 PGNLZ, lúc này 1 PGNLZ = 234.385.300.000.000 USDT, đã tăng 40 Tỷ lần.

Cuối cùng, kẻ tấn công đã rút cạn LP Pool, trả hết flash loan và thu lợi 100 nghìn USDT.

Tổng Kết

Nguyên nhân của lỗ hổng này là do mô hình kinh tế giảm phát (deflationary economic model), khi trừ phí hoặc Đốt LP Pool đã không được xác minh. Điều này dẫn đến việc kẻ tấn công lợi dụng đặc tính giảm phát để thao túng giá Token. Khuyến nghị các dự án nên xác minh đa chiều khi thiết kế mô hình kinh tế và logic vận hành mã, và khi kiểm toán hợp đồng trước khi triển khai, nên chọn nhiều công ty kiểm toán để kiểm tra chéo.

相关问答

QSự kiện tấn công PGNLZ xảy ra vào ngày nào và trên blockchain nào?

ASự kiện tấn công xảy ra vào ngày 27 tháng 1 năm 2026 trên mạng BNB Smart Chain.

QKẻ tấn công đã sử dụng phương pháp gì để có được số vốn ban đầu?

AKẻ tấn công đã sử dụng flash loan từ Moolah Protocol để vay 1.059 BTCB.

QHành động chính nào cho phép kẻ tấn công thao túng giá của token PGNLZ?

AKẻ tấn công đã đốt (burn) một lượng lớn token PGNLZ vào địa chỉ 0xdead, làm giảm nguồn cung trong pool một cách đột ngột và đẩy giá token lên cao.

QLỗ hổng chính trong hợp đồng thông minh của PGNLZ là gì?

ALỗ hổng nằm ở mô hình kinh tế giảm phát (deflationary economic model), cụ thể là việc tính phí hoặc đốt token từ LP Pool mà không có cơ chế xác minh phù hợp, cho phép kẻ tấn công thao túng giá.

QThiệt hại ước tính của vụ tấn công này là bao nhiêu?

ACuộc tấn công đã gây ra thiệt hại ước tính khoảng 100.000 USD.

你可能也喜欢

血赚240万,这9个内幕地址最懂美伊战争

5月18日,Bubblemaps团队披露,在预测市场平台Polymarket上发现九个高度关联的匿名账户。这些账户专注于押注2026年美伊冲突相关的军事事件,总计净赚超过240万美元,胜率高达98%。 调查发现,这些账户的投注时机极为精准,往往在关键军事行动发生前几天下注,且偏好低赔率的长线选项。资金路径显示,它们通过中心化交易所转入共享钱包网络,疑似使用专业服务隐藏痕迹。 其中四个核心账户各赚约40万美元。它们参与了包括2月28日美国首次打击伊朗、伊朗最高领袖被清除等关键事件的预测,甚至通过分散下注和少量亏损单来掩饰行为。 此次事件涉及的利润是此前一宗美军士兵内幕交易案的六倍。Polymarket平台虽已建立监控系统并明令禁止内幕交易,但完全杜绝仍存挑战。与此同时,市场上甚至出现了专门帮助用户“跟单”疑似内幕交易地址的争议性服务。

marsbit32分钟前

血赚240万,这9个内幕地址最懂美伊战争

marsbit32分钟前

早报 | Michael Saylor 表示本周买入的是债券而非比特币;StablR 遭攻击损失约 280 万美元;美国国会再推比特币储备法案

早报摘要:FTX前律所与审计机构同意支付6600万美元就欺诈指控达成和解。稳定币项目StablR遭攻击,损失约280万美元。美国国会再推比特币储备法案,共和党拟推动囤积全球5%的比特币。MicroStrategy创始人Michael Saylor澄清本周购买的是债券而非比特币。以太坊基金会频遭质疑,有研究员为其辩护称其使命是建设协议。此外,多位对市场监管持怀疑态度的CFTC官员被停职并离职。 市场方面,过去24小时,以太坊链上热门Meme代币前五为HEX、SHIB、LINK、PEPE、mUSD;Solana链上前五为TROLL、neet、WORLDCUP、HANTA、Buttcoin;Base链上前五为TOSHI、KEYCAT、BRETT、CLANKER、LUNA。 观点与分析文章指出,代币化资产(RWA)市场规模已突破300亿美元,两年增长超10倍,正改变资产形态与金融系统构建。另一篇文章从五层金融堆栈的角度,拆解了去中心化衍生品交易所Hyperliquid的成功在于其从底层清算层开始扎实构建基础设施的策略。

链捕手1小时前

早报 | Michael Saylor 表示本周买入的是债券而非比特币;StablR 遭攻击损失约 280 万美元;美国国会再推比特币储备法案

链捕手1小时前

SuperEx 的火星探索梦想:数字货币是打通星际时代经济往来的钥匙

2016年,马斯克在国际宇航大会上公布了火星移民计划。2017年,迪拜政府也推出了“火星科学城市项目”。SuperEx的创立初衷正是向人类探索星空的勇气致敬,并决定成立太空基金,资助包括马斯克火星计划在内的全球太空探索项目。用户在SuperEx的每一笔交易,其部分盈利都将用于支持人类的火星探索事业。 从探索火星到星际移民,不仅需要科技突破,经济体系也需适应星际时代。主权货币难以在星际间自由流通,而数字货币凭借其去中心化、无国界的特性,被认为是打通未来星际经济往来的关键。Web3.0技术为数字货币的发展提供了土壤,使其更具开放性、安全性和自主性。 现实中,加密货币体系正在重塑未来:DAO组织在全球兴起(如SuperEx DAO)、美国政府推动加密货币立法、高盛等传统金融机构提供加密服务、法拉利等企业接受加密货币支付。这些迹象表明数字货币的影响力与日俱增。 SuperEx致力于搭建全球首家基于Web3.0的数字货币交易平台,为未来星际时代的经济体系奠定基石。平台目前拥有超过1000万用户,支持1000多种币种的交易,并整合了去中心化钱包,兼顾交易效率与资产安全。 SuperEx的最终目标是建立完全去中心化的DAO自治,打破传统公司架构,实现社区共治。目前其DAO已覆盖全球20多个国家和地区。SuperEx的愿景是创造一个自由、无边界的金融世界,推动整个数字货币行业共同发展,成为迈向星际时代的助力。

链捕手1小时前

SuperEx 的火星探索梦想:数字货币是打通星际时代经济往来的钥匙

链捕手1小时前

V神终于松口了,ETH才是以太坊最重要的产品

5月25日,以太坊联合创始人Vitalik Buterin发文阐述其对以太坊基金会(EF)未来方向的个人看法。他强调,以太坊不应向主流趋势妥协,而必须坚持令人惊叹(impressive)并贯彻抗审查、开放、隐私、安全(CROPS)的价值观。 Vitalik指出,EF的角色应是生态中一个具有明确职能的节点,而非中心。EF资源有限,仅持有约0.16%的ETH,其设计初衷也非永久管家,因此未来将更聚焦于对CROPS至关重要、且无人去做的事,并做出艰难选择,将部分活动与人才转移至外部。 技术层面,Vitalik认为以太坊不应单纯追求高TPS,而应在CROPS维度做到令人折服。核心目标包括:1. 利用AI辅助的形式化验证,打造可证明无漏洞的以太坊;2. 实现高可用性的链上共识,兼具传统BFT和比特币PoW风格的抗攻击属性;3. 推进“中介最小化”,建立通用、减少中介依赖的交易发送机制。 Vitalik明确表示,以太坊最高价值的产品是ETH,其个人近90%的净资产为ETH。他认为上述技术特性有利于支撑ETH作为资产的价值。未来的EF将更像一艘立场鲜明、规模精干但能长久存在的“小船”,专注于确保以太坊为世界带来真正有意义的东西。

marsbit1小时前

V神终于松口了,ETH才是以太坊最重要的产品

marsbit1小时前

V神终于松口了,ETH才是以太坊最重要的产品

以太坊联合创始人Vitalik Buterin近日发文阐述了对以太坊基金会未来方向的个人看法。他强调,以太坊不应迎合主流趋势,而必须坚持令人惊叹(impressive),并贯彻抗审查、开放、隐私、安全(CROPS)的价值观。他认为,以太坊最核心的产品是ETH,并透露个人近90%的净资产为ETH。 Vitalik指出,以太坊基金会的角色应是生态中一个具有明确职能的节点,而非中心,其资源将专注于对CROPS至关重要且无人替代的工作。基金会将进行转型,采取更鲜明立场,追求长期存在而非无限扩张。 在技术层面,Vitalik主张以太坊应在CROPS维度做到极致,而非单纯追求高TPS。具体目标包括:打造可证明无漏洞的以太坊、实现高可用性的链上共识、以及推动“中介最小化”,减少交易对中间层的依赖。这些特性将巩固ETH作为资产的价值。 他总结道,未来的以太坊基金会将更精简、立场更鲜明,致力于确保以太坊为世界带来真正有意义的东西。

Odaily星球日报1小时前

V神终于松口了,ETH才是以太坊最重要的产品

Odaily星球日报1小时前

交易

现货
合约

热门文章

什么是 $WELL

WELL3, $$WELL:通过 DePIN 和 AI 彻底改变健康与保健 介绍 在快速发展的数字技术领域,健康和保健行业处于创新的前沿,努力提升患者护理和促进更健康的生活方式。WELL3 是该领域的一位开创性参与者,这是一项开创性的 Web3 项目,旨在彻底改变个人与其健康的互动方式。通过利用去中心化物理基础设施网络(DePIN)、去中心化身份(DID)和人工智能(AI)等技术,WELL3 旨在促进安全、数据驱动的健康旅程。本文将深入探讨 WELL3、$$WELL 的核心方面,包括其功能、创作者、投资者及独特特性。 什么是 WELL3, $$WELL? WELL3 是一个创新平台,旨在重新定义健康与保健的方法。该项目专注于将 DePIN 和 DID 与 AI 系统结合,旨在创造个性化的用户体验,同时确保个人健康数据的安全性和隐私性。拥有超过一百万名预注册用户的亮眼数字,WELL3 的主要使命是通过安全、数据驱动的健康旅程提升人们的福祉。 在其核心,WELL3 采用先进的区块链技术,确保用户对个人信息拥有完全控制权。该项目不仅解决了数据安全和可达性方面的挑战,还旨在创建一个由共享更好健康的承诺连接起来的充满活力的社区。 WELL3 的关键特性: DePIN 和 DID:这些技术能够安全地拥有和验证数据,使用户对其信息拥有完全控制权。 AI 集成:通过利用 AI 分析,WELL3 提供个性化的见解和解决方案,量身定制以满足个人健康需求。 社区参与:促进一个支持性的环境,用户可以在这里交流,分享经验,互相激励,共同迈向更健康的生活。 WELL3, $$WELL 的创作者 关于 WELL3 创作者的身份,在现有信息中尚未明确。随着项目的推进,可能会出现更多详细信息,为这一变革性倡议背后的 visionary 思想提供背景。 WELL3, $$WELL 的投资者 WELL3 得到了众多有影响力的投资实体的支持,凸显了其在健康和保健领域的可靠性和潜力。主要投资者包括: Animoca Brands AWS 三星 斯巴达集团 Blocore Fenbushi Capital Newman Group Soul Capital XY Finance Lumoz 这些知名组织的支持展示了对 WELL3 使命的强烈信心,为其创新和扩展提供了必要的资源。 WELL3, $$WELL 如何运作? WELL3 通过把尖端技术融入多链框架,确保用户获得无缝和创新的体验。以下是使 WELL3 在健康市场独具特色的一些因素: 1. 安全的数据所有权 通过整合 DePIN 和 DID,用户可以保持对个人健康信息的完全控制。在当今数字时代,这一安全层面至关重要,因为数据泄露和未经授权的访问无处不在。通过 WELL3,数据所有权实现去中心化,使用户能够主动管理自己的信息。 2. 通过 AI 实现个性化 WELL3 利用 AI 驱动的分析为用户提供量身定制的健康见解。通过利用 AI 的力量,平台能够提供个性化的推荐和解决方案,鼓励用户更有效地实现健康目标。 3. 多链框架 WELL3 项目设计适用于多个区块链平台,包括比特币、以太坊、Polygon、Solana、Blast 和 TON。这种多链能力确保用户能够在不同网络之间无缝互动该平台,增强可访问性和可用性。 4. WELL 代币 WELL3 生态系统的核心是 WELL 代币,其用途多种多样,包括效用、治理和奖励。该代币允许参与生态系统,支持健康数据共享,并根据用户在平台上的参与给予激励。 WELL3, $$WELL 的时间线 WELL3 的发展轨迹展示了其在开发过程中的重要里程碑,每个里程碑都有助于项目的整体成功。以下是 WELL3 历史上重要事件的简要时间线: 2024年2月10日:WELL3 启动其 NFT 项目,迅速崛起为 opBNB 链上最大的 NFT 收藏,拥有超过 324,000 名所有者,并在 2024 年 4 月 27 日之前创造了 800 万个 NFT。 公开销售:该项目在仅七天内实现了约 15,237.2 ETH 的总锁定价值(TVL),表明市场的强烈兴趣和支持。 WELL ID 启动:平台上已有超过 900,000 用户注册 WELL ID 及其对应的 NFT Ring 白名单,标志着生态系统内显著的采用阶段。 合作伙伴关系发展:WELL3 与包括 Animoca Brands、AWS、三星等领先实体建立合作伙伴关系,以增强其生态系统并扩展其影响力。 交易量:WELL3 已经促进了超过 1700 万美元的交易,反映其在健康与保健社区不断增长的实用性和参与度。 关于 WELL3, $$WELL 的关键点 作为一个向健康市场转型的进步倡议,WELL3 确定了一些关键要素,将为其持续成功做出贡献。以下是一些值得注意的关键要点: 代币经济学 $$WELL 代币的最大供应量为 420 亿,其中有 71% 用于社区倡议。这种分配策略强调了项目对其用户基础和长期可持续性的承诺。 锁仓期 为确保生态系统的稳定性,代币将在 24 个月 的锁仓期内分批释放,提升用户的信任和信心。 生态系统发展 WELL3 的愿景是创建一个全面和可持续的生态系统,以鼓励繁荣的社区参与、促进健康行为,并提供针对健康领域紧迫需求的数字解决方案。 市场契合度 估值为 5.6 万亿美元 的健康产业提供了一个丰厚的机会,WELL3 旨在抓住这一机会。该项目预计的年增长率为 5-10%,在健康意识生活日益上升的趋势中,项目正处于理想位置。 可穿戴设备 推出 WELL3 Ring,这是一种以加密激励的可穿戴设备,符合对个性化健康数据日益增长的需求。该设备不仅增强了用户体验,还重新定义了在 Web3 语境下与健康互动的含义。 结论 WELL3 代表了区块链技术在健康和保健领域整合的重大进展。通过解决数据所有权、个性化和社区参与等关键问题,这一创新平台为提升个人福祉提供了前瞻性解决方案。在显著投资者的强大支持和对先进技术的承诺下,WELL3 将在健康产业产生持久的影响。对于那些寻求在数字时代导航健康复杂性的人来说,WELL3 无疑是一个值得关注的项目,因为它不断发展和壮大。

51人学过发布于 2024.07.14更新于 2024.12.03

什么是 $WELL

如何购买WELL

欢迎来到HTX.com!我们已经让购买Moonwell Artemis(WELL)变得简单而便捷。跟随我们的逐步指南,放心开始您的加密货币之旅。第一步:创建您的HTX账户使用您的电子邮件、手机号码注册一个免费账户在HTX上。体验无忧的注册过程并解锁所有平台功能。立即注册第二步:前往买币页面,选择您的支付方式信用卡/借记卡购买:使用您的Visa或Mastercard即时购买Moonwell Artemis(WELL)。余额购买:使用您HTX账户余额中的资金进行无缝交易。第三方购买:探索诸如Google Pay或Apple Pay等流行支付方法以增加便利性。C2C购买:在HTX平台上直接与其他用户交易。HTX场外交易台(OTC)购买:为大量交易者提供个性化服务和竞争性汇率。第三步:存储您的Moonwell Artemis(WELL)购买完您的Moonwell Artemis(WELL)后,将其存储在您的HTX账户钱包中。您也可以通过区块链转账将其发送到其他地方或者用于交易其他加密货币。第四步:交易Moonwell Artemis(WELL)在HTX的现货市场轻松交易Moonwell Artemis(WELL)。访问您的账户,选择您的交易对,执行您的交易,并实时监控。HTX为初学者和经验丰富的交易者提供了友好的用户体验。

346人学过发布于 2024.12.10更新于 2025.03.21

如何购买WELL

相关讨论

欢迎来到HTX社区。在这里,您可以了解最新的平台发展动态并获得专业的市场意见。以下是用户对WELL(WELL)币价的意见。

活动图片

热门问答

热门分类right-arrow

热门标签right-arrow