Une « autodestruction » soigneusement conçue : Analyse de l'attaque PGNLZ

marsbit发布于2026-01-28更新于2026-01-28

文章摘要

Une attaque soigneusement planifiée contre le projet PGNLZ sur BNB Smart Chain a été détectée le 27 janvier 2026, causant une perte d’environ 100 000 USD. L’attaquant a utilisé un flash loan de 1 059 BTCB via Moolah Protocol, puis les a déposés comme garantie sur Venus Protocol pour emprunter 30 000 000 USDT. Ensuite, l’attaquant a échangé 23 337 952 USDT contre 982 506 PGNLZ sur PancakeSwap, mais a immédiatement brûlé ces tokens (en les envoyant à l’adresse 0xdead). Cette action a drastiquement réduit l’offre de PGNLZ dans le pool, faisant monter son prix de 0,1 USDT à 5 528 USDT. L’attaquant a ensuite exploité la fonction de taxe de vente (Fee-On Transfer) du token, qui déclenchait un mécanisme de brûlage (_executeBurnFromLP) supprimant presque entièrement les tokens restants du pool. Le prix a alors été artificiellement gonflé à 234 385 300 000 000 USDT par PGNLZ, permettant à l’attaquant de vider le pool et de réaliser un profit après remboursement du prêt. La cause principale de cette vulnérabilité est un modèle économique déflationniste mal sécurisé, sans vérification adéquate lors des opérations de taxation ou de brûlage. Il est recommandé aux projets de bien valider leurs mécanismes économiques et de réaliser des audits croisés avant le déploiement.

Contexte

Le 27 janvier 2026, nous avons détecté une attaque sur le projet PGNLZ sur le BNB Smart Chain :

https://bscscan.com/tx/0xa7488ff4d6a85bf19994748837713c710650378383530ae709aec628023cd7cc

Après une analyse détaillée, l'attaquant a lancé une attaque soutenue contre le projet PGNLZ le 27 janvier 2026, causant une perte d'environ 100 000 USD.

Analyse de l'attaque et de l'événement

L'attaquant a d'abord emprunté 1 059 BTCB via un flash loan auprès de Moolah Protocol,

Puis, il a déposé ces 1 059 BTCB en collatéral sur Venus Protocol pour emprunter 30 000 000 USDT.

Ensuite, l'attaquant a appelé la fonction `swapTokensForExactTokens` sur PancakeSwap, utilisant 23 337 952 USDT pour échanger contre 982 506 PGNLZ, mais a ensuite brûlé ces PGNLZ (en les envoyant à l'adresse 0xdead).

Avant l'échange, le pool PancakeSwap contenait 100 901 USDT et 982 506 PGNLZ, le prix du PGNLZ était donc de 1 PGNLZ = 0,1 USDT. Après l'échange, le pool PancakeSwap contenait 23 438 853 USDT et 4 240 PGNLZ, le prix du PGNLZ est alors passé à 1 PGNLZ = 5 528 USDT.

Par la suite, l'attaquant a appelé la fonction `swapExactTokensForTokensSupportingFeeOnTransferTokens`, une fonction conçue pour prendre en charge les tokens avec frais de transfert (Fee-On Transfer Token). PGNLZ utilise `_update` pour gérer les frais de transaction, la chaîne d'appel spécifique étant : `transferFrom` -> `_spendAllowance` -> `_transfer` -> `_update`.

Comme il s'agissait d'une vente (sell), la fonction `_handleSellTax` a été appelée.

Examinons comment `_executeBurnFromLP` est implémentée,

On peut voir que `_executeBurnFromLP` utilise `_update` pour brûler la quantité de PGNLZ définie par `pendingBurnFromLP`. Le bloc précédent indiquait que `pendingBurnFromLP` était de 4 240 113 074 578 781 194 669.

Après le burn, il ne restait plus que 0,00000001 PGNLZ dans le pool de liquidité (LP Pool), le prix est alors passé à 1 PGNLZ = 234 385 300 000 000 USDT, soit une multiplication par 40 milliards.

Enfin, l'attaquant a vidé le LP Pool, a remboursé le flash loan, et a réalisé un profit de 100 000 USDT.

Conclusion

La cause de cette vulnérabilité réside dans le modèle économique déflationniste, qui ne valide pas les frais prélevés ou la combustion du pool de liquidité. Cela a permis à l'attaquant de manipuler le prix du token en exploitant ses caractéristiques déflationnistes. Il est recommandé aux projets de valider minutieusement la conception de leur modèle économique et la logique d'exécution du code, et de privilégier un audit croisé par plusieurs sociétés d'audit avant le déploiement du contrat.

相关问答

QQuel est la cause principale de l'attaque contre le projet PGNLZ sur BNB Smart Chain ?

ALa cause principale est le modèle économique déflationniste du token, avec une vulnérabilité dans la vérification lors des frais de transaction ou de la destruction des tokens du pool de liquidité, permettant à l'attaquant de manipuler le prix.

QComment l'attaquant a-t-il initialement obtenu les fonds pour lancer l'attaque ?

AL'attaquant a obtenu un flash loan de 1 059 BTCB auprès de Moolah Protocol, qu'il a ensuite utilisé comme garantie pour emprunter 30 000 000 USDT sur Venus Protocol.

QQuelle action spécifique a provoqué l'augmentation massive du prix du PGNLZ ?

AL'attaquant a brûlé une énorme quantité de PGNLZ (4 240 113 074 578 781 194 669 tokens) via la fonction _executeBurnFromLP, ne laissant que 0,00000001 PGNLZ dans le pool, ce qui a fait monter le prix de 40 milliards de fois.

QQuel était le prix du PGNLZ avant et après la manipulation par l'attaquant ?

AAvant la manipulation : 1 PGNLZ = 0,1 USDT. Après la manipulation : 1 PGNLZ = 234 385 300 000 000 USDT.

QQuelle est la recommandation principale pour éviter ce type d'attaque à l'avenir ?

AIl est recommandé de valider soigneusement le modèle économique et la logique du code, et de faire auditer le contrat par plusieurs sociétés d'audit différentes avant son déploiement.

你可能也喜欢

比特币现货ETF遭遇近3个月最大净流出,资金撤出达12.6亿美元 – 详情

上周,美国13只比特币现货ETF出现大规模资金净流出,总额达12.6亿美元,创下近三个月来最高纪录。数据显示,这已是该市场连续第六个交易日录得资金净流出。 具体来看,周一单日净流出高达6.49亿美元,为自1月29日以来最大单日撤资。后续几日虽有减少,但仍持续净流出。主要基金中,贝莱德旗下IBIT净流出10.1亿美元,富达的FBTC和Ark/21Shares的ARKB也分别出现1.115亿和1.068亿美元的净流出。新晋的摩根士丹利MSBT是唯一录得净流入的基金。 至此,比特币现货ETF在5月已累计净流出10亿美元,其总累计净流入降至570.8亿美元。 与此同时,以太坊现货ETF表现同样疲弱,上周净流出2.1519亿美元,已连续十个交易日遭遇撤资,累计净流出达4.711亿美元。 截至发稿时,比特币价格报76,735美元,日内上涨1.75%;以太坊报2,119美元,日内上涨2.78%。

bitcoinist4小时前

比特币现货ETF遭遇近3个月最大净流出,资金撤出达12.6亿美元 – 详情

bitcoinist4小时前

DeepSeek永久降价,但梁文锋并不想做「赛博菩萨」

DeepSeek宣布将V4-Pro API的75%折扣永久化,全球同步生效,基础输入/输出价格大幅降低至0.435美元/百万Token和0.87美元/百万Token。在AI行业普遍涨价的背景下,这一逆势降价行动被社区称为“赛博菩萨”行为。但创始人梁文锋并非纯粹做慈善,而是选择了开源普惠的商业模式。 当前AI行业正变得越来越贵,微软、Uber等大公司的Token预算消耗远超预期,而Anthropic、OpenAI和谷歌等巨头已在过去六个月内悄悄提价。随着用户习惯建立,AI补贴时代已结束,供需关系反转导致价格上涨。 DeepSeek的持续降价展现了一种反向定价权。其竞争力来源于多个方面:国产昇腾算力支持未来将进一步降低成本;中国相对较低的AI人才成本;最重要的是能源体系优势——中国西部绿电价格仅为欧美的1/5到1/4,且拥有完整的电力结构和“东数西算”等调度能力,电力成本占AI运营成本的60%-70%,这构成了系统性的成本优势。 虽然DeepSeek V4与顶尖闭源模型仍有客观差距,且商业收入目前落后于国内其他AI公司,但其极低的推理成本(仅为GPT-5.5的约1%到11%)满足了大量实际商业场景对“勉强能用+足够便宜+足够稳定”的需求。当AI整体越贵,DeepSeek的性价比优势就越突出,其商业价值也由此体现。

marsbit8小时前

DeepSeek永久降价,但梁文锋并不想做「赛博菩萨」

marsbit8小时前

人人都在呼吁比特币价格走低:为何此刻是抛物线式上涨的绝佳时机

加密货币分析师Crypto Fergani指出,尽管市场普遍对比特币价格持悲观态度,并预测将进一步下跌,但他认为比特币即将进入抛物线式上涨阶段。他驳斥了熊市延续的观点,指出市场并无实质性利空消息,反而机构持续增持、全球采用加速等积极因素存在。他对比了2022年的周期,预测比特币将从当前约74,645美元水平飙升,目标看向128,000美元,涨幅超过72%,并带动山寨币平均上涨50至100倍。 另一方面,分析师Bee持谨慎看法,认为比特币自2025年10月峰值126,000美元后,每次反弹都遭遇卖压,呈现高点降低、低点下移的形态。他预警市场可能继续下行,直至过度杠杆被清除,最终底部可能在47,000至52,000美元区间形成,随后才会开启新的牛市周期。目前市场观点分化,一方期待即将到来的暴涨,另一方则警告深度回调的风险。

bitcoinist9小时前

人人都在呼吁比特币价格走低:为何此刻是抛物线式上涨的绝佳时机

bitcoinist9小时前

Mythos的面纱,成了Anthropic撬动万亿的杠杆

Anthropic公司即将以超9000亿美元估值完成巨额融资,其核心策略是通过构建“Mythos”模型的强大叙事来撬动资本与市场。Mythos被描述为“强到不能公开发布”的AI模型,与之相关的网络安全项目“Glasswing”虽公布了一些漏洞发现数据,但缺乏可验证的参照系,巧妙地将“不公开”包装为责任感和技术卓越的证明。 同时,美国政府的态度变化为叙事提供了关键背书。尽管曾将Anthropic列为供应链风险,但白宫及NSA等机构被曝寻求使用其高级模型(很可能是Mythos),这传递出该技术“不可替代”且通过最高标准审查的信号,极大地增强了其可信度与商业价值。 商业数据方面,Anthropic向投资者展示了惊人的收入增长,特别是Claude Code产品增长迅猛,推动公司整体年化收入预期超过500亿美元。谷歌持续巨额投资(承诺最高400亿美元)则提供了强大的资本背书,吸引了更多投资人跟进,共同推高估值。 本质上,Anthropic的成功在于其卓越的“讲故事”能力:它将一个无法被公众验证的技术能力(Mythos),结合政府机构的“隐性”认可、爆炸性的收入预期以及顶级投资者的真金白银,整合成一个强大且自洽的叙事。这个叙事说服了市场中最有影响力的参与者,从而将“不可验证的潜力”转化为实实在在的万亿级估值。

marsbit10小时前

Mythos的面纱,成了Anthropic撬动万亿的杠杆

marsbit10小时前

稳定币监管:FDIC宣布针对发行机构的新反洗钱拟议规则

美国联邦存款保险公司(FDIC)发布了一项拟议规则制定通知,计划将《银行保密法》(BSA)和经济制裁合规标准延伸至其监管的“许可支付稳定币发行商”(PPSI)。此举旨在将数字资产发行商进一步纳入长期监管传统银行的合规架构之中。 根据提案,PPSI必须遵守反洗钱/打击恐怖主义融资(AML/CFT)计划要求、经济制裁计划以及包括提交可疑活动报告在内的各项报告义务。PPSI将被正式归类为BSA下的“金融机构”,需建立完整的AML合规计划以及与外国资产控制办公室(OFAC)要求一致的制裁合规结构,包括内部控制、指定合规官、员工培训、独立测试和链上交易筛查等。 在监督执行方面,FDIC在针对PPSI的AML/CFT计划启动正式执法行动或做出重大监管决定前,需至少提前30天通知金融犯罪执法网络(FinCEN)主任。不过,FDIC表示,拥有有效AML/CFT计划的PPSI在大多数情况下可免于执法行动,除非其在实施必要计划方面出现“重大或系统性失误”。 该提案的公众评议期预计将持续至2026年6月9日,最终规则将于2026年晚些时候公布。FDIC估计,在法规生效后的头几年,可能有5至30家受其监管的PPSI寻求批准,其中多数将利用其母机构的现有AML基础设施,从而将新增合规成本保持在较低水平。

bitcoinist10小时前

稳定币监管:FDIC宣布针对发行机构的新反洗钱拟议规则

bitcoinist10小时前

交易

现货
合约

热门文章

什么是 $WELL

WELL3, $$WELL:通过 DePIN 和 AI 彻底改变健康与保健 介绍 在快速发展的数字技术领域,健康和保健行业处于创新的前沿,努力提升患者护理和促进更健康的生活方式。WELL3 是该领域的一位开创性参与者,这是一项开创性的 Web3 项目,旨在彻底改变个人与其健康的互动方式。通过利用去中心化物理基础设施网络(DePIN)、去中心化身份(DID)和人工智能(AI)等技术,WELL3 旨在促进安全、数据驱动的健康旅程。本文将深入探讨 WELL3、$$WELL 的核心方面,包括其功能、创作者、投资者及独特特性。 什么是 WELL3, $$WELL? WELL3 是一个创新平台,旨在重新定义健康与保健的方法。该项目专注于将 DePIN 和 DID 与 AI 系统结合,旨在创造个性化的用户体验,同时确保个人健康数据的安全性和隐私性。拥有超过一百万名预注册用户的亮眼数字,WELL3 的主要使命是通过安全、数据驱动的健康旅程提升人们的福祉。 在其核心,WELL3 采用先进的区块链技术,确保用户对个人信息拥有完全控制权。该项目不仅解决了数据安全和可达性方面的挑战,还旨在创建一个由共享更好健康的承诺连接起来的充满活力的社区。 WELL3 的关键特性: DePIN 和 DID:这些技术能够安全地拥有和验证数据,使用户对其信息拥有完全控制权。 AI 集成:通过利用 AI 分析,WELL3 提供个性化的见解和解决方案,量身定制以满足个人健康需求。 社区参与:促进一个支持性的环境,用户可以在这里交流,分享经验,互相激励,共同迈向更健康的生活。 WELL3, $$WELL 的创作者 关于 WELL3 创作者的身份,在现有信息中尚未明确。随着项目的推进,可能会出现更多详细信息,为这一变革性倡议背后的 visionary 思想提供背景。 WELL3, $$WELL 的投资者 WELL3 得到了众多有影响力的投资实体的支持,凸显了其在健康和保健领域的可靠性和潜力。主要投资者包括: Animoca Brands AWS 三星 斯巴达集团 Blocore Fenbushi Capital Newman Group Soul Capital XY Finance Lumoz 这些知名组织的支持展示了对 WELL3 使命的强烈信心,为其创新和扩展提供了必要的资源。 WELL3, $$WELL 如何运作? WELL3 通过把尖端技术融入多链框架,确保用户获得无缝和创新的体验。以下是使 WELL3 在健康市场独具特色的一些因素: 1. 安全的数据所有权 通过整合 DePIN 和 DID,用户可以保持对个人健康信息的完全控制。在当今数字时代,这一安全层面至关重要,因为数据泄露和未经授权的访问无处不在。通过 WELL3,数据所有权实现去中心化,使用户能够主动管理自己的信息。 2. 通过 AI 实现个性化 WELL3 利用 AI 驱动的分析为用户提供量身定制的健康见解。通过利用 AI 的力量,平台能够提供个性化的推荐和解决方案,鼓励用户更有效地实现健康目标。 3. 多链框架 WELL3 项目设计适用于多个区块链平台,包括比特币、以太坊、Polygon、Solana、Blast 和 TON。这种多链能力确保用户能够在不同网络之间无缝互动该平台,增强可访问性和可用性。 4. WELL 代币 WELL3 生态系统的核心是 WELL 代币,其用途多种多样,包括效用、治理和奖励。该代币允许参与生态系统,支持健康数据共享,并根据用户在平台上的参与给予激励。 WELL3, $$WELL 的时间线 WELL3 的发展轨迹展示了其在开发过程中的重要里程碑,每个里程碑都有助于项目的整体成功。以下是 WELL3 历史上重要事件的简要时间线: 2024年2月10日:WELL3 启动其 NFT 项目,迅速崛起为 opBNB 链上最大的 NFT 收藏,拥有超过 324,000 名所有者,并在 2024 年 4 月 27 日之前创造了 800 万个 NFT。 公开销售:该项目在仅七天内实现了约 15,237.2 ETH 的总锁定价值(TVL),表明市场的强烈兴趣和支持。 WELL ID 启动:平台上已有超过 900,000 用户注册 WELL ID 及其对应的 NFT Ring 白名单,标志着生态系统内显著的采用阶段。 合作伙伴关系发展:WELL3 与包括 Animoca Brands、AWS、三星等领先实体建立合作伙伴关系,以增强其生态系统并扩展其影响力。 交易量:WELL3 已经促进了超过 1700 万美元的交易,反映其在健康与保健社区不断增长的实用性和参与度。 关于 WELL3, $$WELL 的关键点 作为一个向健康市场转型的进步倡议,WELL3 确定了一些关键要素,将为其持续成功做出贡献。以下是一些值得注意的关键要点: 代币经济学 $$WELL 代币的最大供应量为 420 亿,其中有 71% 用于社区倡议。这种分配策略强调了项目对其用户基础和长期可持续性的承诺。 锁仓期 为确保生态系统的稳定性,代币将在 24 个月 的锁仓期内分批释放,提升用户的信任和信心。 生态系统发展 WELL3 的愿景是创建一个全面和可持续的生态系统,以鼓励繁荣的社区参与、促进健康行为,并提供针对健康领域紧迫需求的数字解决方案。 市场契合度 估值为 5.6 万亿美元 的健康产业提供了一个丰厚的机会,WELL3 旨在抓住这一机会。该项目预计的年增长率为 5-10%,在健康意识生活日益上升的趋势中,项目正处于理想位置。 可穿戴设备 推出 WELL3 Ring,这是一种以加密激励的可穿戴设备,符合对个性化健康数据日益增长的需求。该设备不仅增强了用户体验,还重新定义了在 Web3 语境下与健康互动的含义。 结论 WELL3 代表了区块链技术在健康和保健领域整合的重大进展。通过解决数据所有权、个性化和社区参与等关键问题,这一创新平台为提升个人福祉提供了前瞻性解决方案。在显著投资者的强大支持和对先进技术的承诺下,WELL3 将在健康产业产生持久的影响。对于那些寻求在数字时代导航健康复杂性的人来说,WELL3 无疑是一个值得关注的项目,因为它不断发展和壮大。

51人学过发布于 2024.07.14更新于 2024.12.03

什么是 $WELL

如何购买WELL

欢迎来到HTX.com!我们已经让购买Moonwell Artemis(WELL)变得简单而便捷。跟随我们的逐步指南,放心开始您的加密货币之旅。第一步:创建您的HTX账户使用您的电子邮件、手机号码注册一个免费账户在HTX上。体验无忧的注册过程并解锁所有平台功能。立即注册第二步:前往买币页面,选择您的支付方式信用卡/借记卡购买:使用您的Visa或Mastercard即时购买Moonwell Artemis(WELL)。余额购买:使用您HTX账户余额中的资金进行无缝交易。第三方购买:探索诸如Google Pay或Apple Pay等流行支付方法以增加便利性。C2C购买:在HTX平台上直接与其他用户交易。HTX场外交易台(OTC)购买:为大量交易者提供个性化服务和竞争性汇率。第三步:存储您的Moonwell Artemis(WELL)购买完您的Moonwell Artemis(WELL)后,将其存储在您的HTX账户钱包中。您也可以通过区块链转账将其发送到其他地方或者用于交易其他加密货币。第四步:交易Moonwell Artemis(WELL)在HTX的现货市场轻松交易Moonwell Artemis(WELL)。访问您的账户,选择您的交易对,执行您的交易,并实时监控。HTX为初学者和经验丰富的交易者提供了友好的用户体验。

345人学过发布于 2024.12.10更新于 2025.03.21

如何购买WELL

相关讨论

欢迎来到HTX社区。在这里,您可以了解最新的平台发展动态并获得专业的市场意见。以下是用户对WELL(WELL)币价的意见。

活动图片

热门问答

热门分类right-arrow

热门标签right-arrow