Sebuah 'Ledakan Diri' yang Dirancang dengan Cermat: Analisis Serangan PGNLZ

marsbit发布于2026-01-28更新于2026-01-28

文章摘要

**Analisis Serangan PGNLZ: Eksploitasi Model Ekonomi Deflasioner** Pada 27 Januari 2026, sebuah serangan canggih terjadi pada proyek **PGNLZ** di BNB Smart Chain, mengakibatkan kerugian sekitar **$100.000 USD**. Penyerang memanfaatkan model token deflasioner proyek untuk memanipulasi harga dan menguras pool likuiditas. **Langkah-Langkah Serangan:** 1. Penyerang meminjam flash loan **1.059 BTCB** dari Moolah Protocol. 2. BTCB dijadikan jaminan di Venus Protocol untuk meminjam **30.000.000 USDT**. 3. Sebagian besar USDT (23.337.952) digunakan untuk membeli **982.506 PGNLZ** di PancakeSwap, yang kemudian dikirim ke alamat mati (`0xdead`) untuk **dihancurkan (burn)**. Tindakan ini secara drastis mengurangi suplai token dalam pool. 4. Penyerang kemudian memicu fungsi penjualan (`swapExactTokensForTokensSupportingFeeOnTransferTokens`), yang mengaktifkan mekanisme `_executeBurnFromLP` dalam kontrak. 5. Fungsi ini membakar jumlah PGNLZ yang sangat besar (`pendingBurnFromLP`) dari pool likuiditas, menyisakan hanya **0.00000001 PGNLZ**. 6. Pembakaran masif ini menyebabkan harga PGNLZ melonjak **40 miliar kali lipat**, dari $0.1 menjadi $234 triliun per token. 7. Dengan harga yang dimanipulasi, penyerang mengosongkan pool likuiditas yang tersisa, melunasi pinjaman flash loan, dan meraup keuntungan. **Akar Masalah:** Kerentanan utama terletak pada **model ekonomi deflasioner** yang tidak memiliki pemeriksaan yang memadai saat membakar token dari pool likuiditas. Hal ini memungk...

Latar Belakang

Pada 27 Januari 2026, kami memantau serangan terhadap proyek PGNLZ di BNB Smart Chain:

https://bscscan.com/tx/0xa7488ff4d6a85bf19994748837713c710650378383530ae709aec628023cd7cc

Setelah analisis mendetail, penyerang secara terus-menerus melancarkan serangan terhadap proyek PGNLZ pada 27 Januari 2026, serangan ini menyebabkan kerugian sekitar 100 ribu USD.

Analisis Serangan dan Peristiwa

Penyerang pertama-tama meminjam flash loan sebesar 1.059 BTCB dari Moolah Protocol,

Kemudian, menjaminkan 1.059 BTCB di Venus Protocol, untuk meminjam (borrow) 30.000.000 USDT.

Selanjutnya, penyerang memanggil fungsi swapTokensForExactTokens di PancakeSwap, menggunakan 23.337.952 USDT untuk menukar 982.506 PGNLZ, tetapi kemudian menghancurkan (burn) PGNLZ ini (dikirim ke alamat 0xdead).

Sebelum penukaran, PancakeSwap Pool memiliki 100.901 USDT dan 982.506 PGNLZ, saat itu harga PGNLZ adalah 1 PGNLZ = 0,1 USDT. Setelah penukaran selesai, PancakeSwap Pool menyisakan 23.438.853 USDT dan 4.240 PGNLZ, saat ini harga PGNLZ adalah 1 PGNLZ = 5.528 USDT.

Kemudian, penyerang memanggil fungsi swapExactTokensForTokensSupportingFeeOnTransferTokens, fungsi ini terutama mendukung Token dengan Biaya Transfer (Fee-On Transfer Token), yaitu token yang dikenakan biaya saat jual beli. PGNLZ menggunakan _update untuk menangani biaya transaksi, rantai panggilannya adalah: transferFrom -> _spendAllowance -> _transfer -> _update

Karena kali ini adalah penjualan (sell), maka akan memanggil _handleSellTax.

Mari kita lihat bagaimana _executeBurnFromLP diimplementasikan,

Dapat dilihat, _executeBurnFromLP akan menggunakan _update untuk membakar (burn) sejumlah PGNLZ sebanyak pendingBurnFromLP. Pada blok sebelumnya, query menunjukkan pendingBurnFromLP adalah 4.240.113.074.578.781.194.669.

Setelah pembakaran (burn), LP Pool hanya menyisakan 0,00000001 PGNLZ, saat ini 1 PGNLZ = 234.385.300.000.000 USDT, telah naik 40 Miliar kali lipat.

Akhirnya, penyerang mengosongkan LP Pool, melunasi pinjaman flash loan, dan mendapatkan keuntungan 100 ribu USDT.

Kesimpulan

Penyebab kerentanan ini adalah model ekonomi deflasioner, yang tidak melakukan verifikasi saat memotong biaya atau membakar LP Pool. Hal ini memungkinkan penyerang memanipulasi harga Token dengan memanfaatkan karakteristik deflasioner. Disarankan agar pihak proyek melakukan verifikasi多方验证 (berbagai verifikasi) dalam merancang model ekonomi dan logika operasional kode, serta memilih beberapa perusahaan audit untuk audit silang sebelum kontrak diluncurkan.

相关问答

QApa yang menjadi penyebab utama kerentanan dalam proyek PGNLZ yang dieksploitasi oleh penyerang?

APenyebab utamanya adalah model ekonomi deflasioner yang tidak memvalidasi proses pemotongan biaya atau pembakaran (Burn) dari Liquidity Pool (LP), memungkinkan penyerang memanipulasi harga token melalui karakteristik deflasi.

QBagaimana penyerang memanipulasi harga token PGNLZ hingga naik miliaran kali lipat?

APenyerang membakar sejumlah besar PGNLZ (982.506 token) ke alamat 0xdead, mengurangi pasokan di pool secara drastis. Kemudian, melalui fungsi _executeBurnFromLP, hampir semua sisa PGNLZ di pool dibakar, menyisakan hanya 0.00000001 token, sehingga harga naik sekitar 40 miliar kali.

QPlatform apa saja yang digunakan penyerang untuk melakukan serangan ini?

APenyerang menggunakan Moolah Protocol untuk pinjaman kilat (flash loan) BTCB, Venus Protocol sebagai jaminan untuk meminjam USDT, dan PancakeSwap untuk melakukan pertukaran token dan memanipulasi pool likuiditas PGNLZ/USDT.

QBerapa total kerugian yang disebabkan oleh serangan ini terhadap proyek PGNLZ?

ASerangan ini menyebabkan kerugian sekitar 100.000 USD.

QApa rekomendasi yang diberikan untuk mencegah serangan serupa di masa depan?

ARekomendasinya adalah memvalidasi model ekonomi dan logika kode secara menyeluruh, serta melakukan audit oleh beberapa perusahaan audit berbeda (audit silang) sebelum kontrak deploy ke mainnet.

你可能也喜欢

Kalshi、MTS 与 a16z 的野望

本文探讨了预测市场在2025年成为投资热点的现象,并着重分析了其精神内核与风险投资机构a16z的新媒体战略之间的关联。 文章梳理了预测市场理念的演变:从哈耶克关于市场作为信息协调机制的理论,到Robin Hanson设计的经济激励机制,再到“Futarchy”治理乌托邦的设想。然而,作者指出,这些传统讨论在a16z关注该领域后才被赋予新的意义。 a16z于2025年投资了预测市场平台Kalshi,并将其估值推高至220亿美元。其核心理念在于,预测市场为用户提供了对抗后现代疏离感的“在场感”。通过真金白银的下注,用户从被动观察者转变为能介入和影响事件的“超级观察者”,从而获得对事件真实性与重要性的解释权。这使其成为a16z构建新媒体帝国的关键拼图。 文章以媒体公司MTS为例,说明a16z所倡导的“新媒体”是一种全频段、高强度的信息发布模式,旨在“接管时间线”。而Kalshi的独特价值在于,其市场交易数据凭借真实资金流动,具备了看似客观的权威性和强大的现实扭曲力场,能够影响公众认知与判断。这种能力正是其获得高估值的深层原因。

marsbit57分钟前

Kalshi、MTS 与 a16z 的野望

marsbit57分钟前

突发:OpenAI芯片元老加入Anthropic

OpenAI自研芯片团队早期核心成员Clive Chan宣布离职,并已正式加入竞争对手Anthropic。Clive Chan是OpenAI硬件团队的“002号员工”,全程参与了公司自研芯片项目从组建到推进的过程。他在声明中高度评价了OpenAI芯片团队的人才实力,但表示自己渴望“重新攀登一座新山”,因此选择加入Anthropic,并对Anthropic团队的人才、价值观和野心印象深刻。 关于OpenAI的自研芯片进展,Clive Chan未透露更多细节,但提及了OpenAI与博通在2025年10月公布的合作计划。根据该计划,双方将共同建设总规模达10GW的AI加速器系统,首批机架预计在2026年下半年开始交付。 Clive Chan毕业于滑铁卢大学,曾先后在谷歌、SpaceX、特斯拉等公司从事AI基础设施相关工作,于2024年1月加入OpenAI。此次跳槽后,Anthropic内部员工表示了欢迎,而网友则调侃这像“离开皇马加盟巴萨”。 近期,OpenAI与Anthropic之间人才流动频繁,此前OpenAI联合创始成员Andrej Karpathy也已加盟Anthropic。随着Anthropic近期完成巨额融资,估值逼近万亿美元,其与OpenAI在人才和资源上的竞争将持续受到关注。

marsbit57分钟前

突发:OpenAI芯片元老加入Anthropic

marsbit57分钟前

a16z 全球化转向:VC 正在成为美国科技联盟的「推手」

a16z(Andreessen Horowitz)发布公告,宣布其全球化战略发生重要转向:不再局限于海外寻找项目和投资,而是将自身定位融入更大的技术竞争与国际盟友合作框架中。面对AI、机器人、国防科技等成为国家竞争焦点的领域,创业公司面临复杂的国际监管、产业政策和地缘关系。a16z通过设立东京办公室、任命Anne Neuberger负责全球事务、将投资者关系团队升级为全球合作伙伴团队等举措,主动应对这一变化。 公告明确将a16z的全球网络与“美国及其盟友”的技术领导力绑定,标志着技术创新已进入国家安全和国际竞争语境。未来,风投的角色不仅是提供资本和增长建议,更要帮助创始人对接关键市场、政府机构和战略资源,理解多国政策环境。a16z旨在成为连接创业公司、国家能力、产业资源和全球资本的组织者,支持盟友国家在关键创新领域的合作,并助力投资组合公司进行全球扩张。这一布局体现了硅谷资本对全球科技竞争新格局的主动站位。

marsbit1小时前

a16z 全球化转向:VC 正在成为美国科技联盟的「推手」

marsbit1小时前

解读Agent商业、支付与基础设施的真相

作者基于一年来为Agent经济构建基础设施的经验,指出当前Agent商业尚未形成真实、规模化的市场需求,初创公司面临结构性挑战。 文章分析了四个关键场景: 1. **Agent对商户**:目前电商体验中,聊天界面在视觉比价购物上逊于传统界面,商户接入多出于防御性“优化”心态。对话式商业在如外卖等高頻、低决策场景有潜力,但受限于平台开放性和成本。 2. **Agent对API**:开发者现有支付方式(如预付)已能处理低频、小额的API调用成本问题。真正的机会在于服务长尾、小众的供应商市场,但规模有限。 3. **Agent对Agent**:这是长期的愿景,涉及机器间的自动交易与结算,需求真实但当前市场几乎为零,需要专用的基础设施。 4. **Agent对金融**:这是唯一存在现成需求和付费客户的领域。将AI嵌入金融工作流是自然演进,但竞争激烈,老牌机构优势明显。 文章认为,行业巨头因资金充足和战略防御而持续投入,但对初创公司而言,真正的机会并非单纯构建支付层。支付只是更宏大问题——**Agent与人类的协同工作、验证与结算**——的一部分。未来,解决协同问题的公司将主导市场,而非支付服务商。作者团队已转向一个存在真实需求、快速增长且未被充分服务的领域。

marsbit1小时前

解读Agent商业、支付与基础设施的真相

marsbit1小时前

Kalshi、MTS 与 a16z 的野望

本文探讨了预测市场在2025年成为投资、加密和媒体领域共同关注焦点的现象,并着重分析了其精神内核的演变及其与风投机构a16z所倡导的“新媒体”愿景的契合。 文章首先回顾了预测市场的思想渊源:从哈耶克关于市场作为分散知识协调机制的观点,到罗宾·汉森设计对数市场评分规则(LMSR)以激励信息真实披露,乃至衍生出的“未来统治”(Futarchy)治理乌托邦构想。 然而,作者指出,a16z在2024-2025年投资估值飙升的预测市场平台Kalshi,为此领域注入了新的精神内涵——“在场感”。在人们与现实世界日益疏离的后现代语境下,预测市场提供了一种通过真金白银下注来介入和“预测”未来的方式,使用户从被动观察者转变为主动的“超级观察者”,从而对抗不确定性与无力感。当足够多人使用并依赖这种媒介时,市场本身将对事件的真实性与重要性获得解释权,这正是a16z构建新媒体帝国的关键拼图。 最后,文章以媒体公司MTS为例,说明a16z的“新媒体”是一种全频段、高烈度的信息工程,旨在“接管时间线”。而Kalshi的核心价值在于,它通过真实的交易数据构建了一种强大的“现实扭曲力场”,其显示的市场概率能深刻影响公众认知与判断,这种赋予私营公司的社会影响力是其获得高估值的根本原因。

链捕手1小时前

Kalshi、MTS 与 a16z 的野望

链捕手1小时前

交易

现货
合约

热门文章

什么是 $WELL

WELL3, $$WELL:通过 DePIN 和 AI 彻底改变健康与保健 介绍 在快速发展的数字技术领域,健康和保健行业处于创新的前沿,努力提升患者护理和促进更健康的生活方式。WELL3 是该领域的一位开创性参与者,这是一项开创性的 Web3 项目,旨在彻底改变个人与其健康的互动方式。通过利用去中心化物理基础设施网络(DePIN)、去中心化身份(DID)和人工智能(AI)等技术,WELL3 旨在促进安全、数据驱动的健康旅程。本文将深入探讨 WELL3、$$WELL 的核心方面,包括其功能、创作者、投资者及独特特性。 什么是 WELL3, $$WELL? WELL3 是一个创新平台,旨在重新定义健康与保健的方法。该项目专注于将 DePIN 和 DID 与 AI 系统结合,旨在创造个性化的用户体验,同时确保个人健康数据的安全性和隐私性。拥有超过一百万名预注册用户的亮眼数字,WELL3 的主要使命是通过安全、数据驱动的健康旅程提升人们的福祉。 在其核心,WELL3 采用先进的区块链技术,确保用户对个人信息拥有完全控制权。该项目不仅解决了数据安全和可达性方面的挑战,还旨在创建一个由共享更好健康的承诺连接起来的充满活力的社区。 WELL3 的关键特性: DePIN 和 DID:这些技术能够安全地拥有和验证数据,使用户对其信息拥有完全控制权。 AI 集成:通过利用 AI 分析,WELL3 提供个性化的见解和解决方案,量身定制以满足个人健康需求。 社区参与:促进一个支持性的环境,用户可以在这里交流,分享经验,互相激励,共同迈向更健康的生活。 WELL3, $$WELL 的创作者 关于 WELL3 创作者的身份,在现有信息中尚未明确。随着项目的推进,可能会出现更多详细信息,为这一变革性倡议背后的 visionary 思想提供背景。 WELL3, $$WELL 的投资者 WELL3 得到了众多有影响力的投资实体的支持,凸显了其在健康和保健领域的可靠性和潜力。主要投资者包括: Animoca Brands AWS 三星 斯巴达集团 Blocore Fenbushi Capital Newman Group Soul Capital XY Finance Lumoz 这些知名组织的支持展示了对 WELL3 使命的强烈信心,为其创新和扩展提供了必要的资源。 WELL3, $$WELL 如何运作? WELL3 通过把尖端技术融入多链框架,确保用户获得无缝和创新的体验。以下是使 WELL3 在健康市场独具特色的一些因素: 1. 安全的数据所有权 通过整合 DePIN 和 DID,用户可以保持对个人健康信息的完全控制。在当今数字时代,这一安全层面至关重要,因为数据泄露和未经授权的访问无处不在。通过 WELL3,数据所有权实现去中心化,使用户能够主动管理自己的信息。 2. 通过 AI 实现个性化 WELL3 利用 AI 驱动的分析为用户提供量身定制的健康见解。通过利用 AI 的力量,平台能够提供个性化的推荐和解决方案,鼓励用户更有效地实现健康目标。 3. 多链框架 WELL3 项目设计适用于多个区块链平台,包括比特币、以太坊、Polygon、Solana、Blast 和 TON。这种多链能力确保用户能够在不同网络之间无缝互动该平台,增强可访问性和可用性。 4. WELL 代币 WELL3 生态系统的核心是 WELL 代币,其用途多种多样,包括效用、治理和奖励。该代币允许参与生态系统,支持健康数据共享,并根据用户在平台上的参与给予激励。 WELL3, $$WELL 的时间线 WELL3 的发展轨迹展示了其在开发过程中的重要里程碑,每个里程碑都有助于项目的整体成功。以下是 WELL3 历史上重要事件的简要时间线: 2024年2月10日:WELL3 启动其 NFT 项目,迅速崛起为 opBNB 链上最大的 NFT 收藏,拥有超过 324,000 名所有者,并在 2024 年 4 月 27 日之前创造了 800 万个 NFT。 公开销售:该项目在仅七天内实现了约 15,237.2 ETH 的总锁定价值(TVL),表明市场的强烈兴趣和支持。 WELL ID 启动:平台上已有超过 900,000 用户注册 WELL ID 及其对应的 NFT Ring 白名单,标志着生态系统内显著的采用阶段。 合作伙伴关系发展:WELL3 与包括 Animoca Brands、AWS、三星等领先实体建立合作伙伴关系,以增强其生态系统并扩展其影响力。 交易量:WELL3 已经促进了超过 1700 万美元的交易,反映其在健康与保健社区不断增长的实用性和参与度。 关于 WELL3, $$WELL 的关键点 作为一个向健康市场转型的进步倡议,WELL3 确定了一些关键要素,将为其持续成功做出贡献。以下是一些值得注意的关键要点: 代币经济学 $$WELL 代币的最大供应量为 420 亿,其中有 71% 用于社区倡议。这种分配策略强调了项目对其用户基础和长期可持续性的承诺。 锁仓期 为确保生态系统的稳定性,代币将在 24 个月 的锁仓期内分批释放,提升用户的信任和信心。 生态系统发展 WELL3 的愿景是创建一个全面和可持续的生态系统,以鼓励繁荣的社区参与、促进健康行为,并提供针对健康领域紧迫需求的数字解决方案。 市场契合度 估值为 5.6 万亿美元 的健康产业提供了一个丰厚的机会,WELL3 旨在抓住这一机会。该项目预计的年增长率为 5-10%,在健康意识生活日益上升的趋势中,项目正处于理想位置。 可穿戴设备 推出 WELL3 Ring,这是一种以加密激励的可穿戴设备,符合对个性化健康数据日益增长的需求。该设备不仅增强了用户体验,还重新定义了在 Web3 语境下与健康互动的含义。 结论 WELL3 代表了区块链技术在健康和保健领域整合的重大进展。通过解决数据所有权、个性化和社区参与等关键问题,这一创新平台为提升个人福祉提供了前瞻性解决方案。在显著投资者的强大支持和对先进技术的承诺下,WELL3 将在健康产业产生持久的影响。对于那些寻求在数字时代导航健康复杂性的人来说,WELL3 无疑是一个值得关注的项目,因为它不断发展和壮大。

51人学过发布于 2024.07.14更新于 2024.12.03

什么是 $WELL

如何购买WELL

欢迎来到HTX.com!我们已经让购买Moonwell Artemis(WELL)变得简单而便捷。跟随我们的逐步指南,放心开始您的加密货币之旅。第一步:创建您的HTX账户使用您的电子邮件、手机号码注册一个免费账户在HTX上。体验无忧的注册过程并解锁所有平台功能。立即注册第二步:前往买币页面,选择您的支付方式信用卡/借记卡购买:使用您的Visa或Mastercard即时购买Moonwell Artemis(WELL)。余额购买:使用您HTX账户余额中的资金进行无缝交易。第三方购买:探索诸如Google Pay或Apple Pay等流行支付方法以增加便利性。C2C购买:在HTX平台上直接与其他用户交易。HTX场外交易台(OTC)购买:为大量交易者提供个性化服务和竞争性汇率。第三步:存储您的Moonwell Artemis(WELL)购买完您的Moonwell Artemis(WELL)后,将其存储在您的HTX账户钱包中。您也可以通过区块链转账将其发送到其他地方或者用于交易其他加密货币。第四步:交易Moonwell Artemis(WELL)在HTX的现货市场轻松交易Moonwell Artemis(WELL)。访问您的账户,选择您的交易对,执行您的交易,并实时监控。HTX为初学者和经验丰富的交易者提供了友好的用户体验。

364人学过发布于 2024.12.10更新于 2026.06.02

如何购买WELL

相关讨论

欢迎来到HTX社区。在这里,您可以了解最新的平台发展动态并获得专业的市场意见。以下是用户对WELL(WELL)币价的意见。

活动图片

热门问答

热门分类right-arrow

热门标签right-arrow