Sebuah 'Ledakan Diri' yang Dirancang dengan Cermat: Analisis Serangan PGNLZ

marsbit發佈於 2026-01-28更新於 2026-01-28

文章摘要

**Analisis Serangan PGNLZ: Eksploitasi Model Ekonomi Deflasioner** Pada 27 Januari 2026, sebuah serangan canggih terjadi pada proyek **PGNLZ** di BNB Smart Chain, mengakibatkan kerugian sekitar **$100.000 USD**. Penyerang memanfaatkan model token deflasioner proyek untuk memanipulasi harga dan menguras pool likuiditas. **Langkah-Langkah Serangan:** 1. Penyerang meminjam flash loan **1.059 BTCB** dari Moolah Protocol. 2. BTCB dijadikan jaminan di Venus Protocol untuk meminjam **30.000.000 USDT**. 3. Sebagian besar USDT (23.337.952) digunakan untuk membeli **982.506 PGNLZ** di PancakeSwap, yang kemudian dikirim ke alamat mati (`0xdead`) untuk **dihancurkan (burn)**. Tindakan ini secara drastis mengurangi suplai token dalam pool. 4. Penyerang kemudian memicu fungsi penjualan (`swapExactTokensForTokensSupportingFeeOnTransferTokens`), yang mengaktifkan mekanisme `_executeBurnFromLP` dalam kontrak. 5. Fungsi ini membakar jumlah PGNLZ yang sangat besar (`pendingBurnFromLP`) dari pool likuiditas, menyisakan hanya **0.00000001 PGNLZ**. 6. Pembakaran masif ini menyebabkan harga PGNLZ melonjak **40 miliar kali lipat**, dari $0.1 menjadi $234 triliun per token. 7. Dengan harga yang dimanipulasi, penyerang mengosongkan pool likuiditas yang tersisa, melunasi pinjaman flash loan, dan meraup keuntungan. **Akar Masalah:** Kerentanan utama terletak pada **model ekonomi deflasioner** yang tidak memiliki pemeriksaan yang memadai saat membakar token dari pool likuiditas. Hal ini memungk...

Latar Belakang

Pada 27 Januari 2026, kami memantau serangan terhadap proyek PGNLZ di BNB Smart Chain:

https://bscscan.com/tx/0xa7488ff4d6a85bf19994748837713c710650378383530ae709aec628023cd7cc

Setelah analisis mendetail, penyerang secara terus-menerus melancarkan serangan terhadap proyek PGNLZ pada 27 Januari 2026, serangan ini menyebabkan kerugian sekitar 100 ribu USD.

Analisis Serangan dan Peristiwa

Penyerang pertama-tama meminjam flash loan sebesar 1.059 BTCB dari Moolah Protocol,

Kemudian, menjaminkan 1.059 BTCB di Venus Protocol, untuk meminjam (borrow) 30.000.000 USDT.

Selanjutnya, penyerang memanggil fungsi swapTokensForExactTokens di PancakeSwap, menggunakan 23.337.952 USDT untuk menukar 982.506 PGNLZ, tetapi kemudian menghancurkan (burn) PGNLZ ini (dikirim ke alamat 0xdead).

Sebelum penukaran, PancakeSwap Pool memiliki 100.901 USDT dan 982.506 PGNLZ, saat itu harga PGNLZ adalah 1 PGNLZ = 0,1 USDT. Setelah penukaran selesai, PancakeSwap Pool menyisakan 23.438.853 USDT dan 4.240 PGNLZ, saat ini harga PGNLZ adalah 1 PGNLZ = 5.528 USDT.

Kemudian, penyerang memanggil fungsi swapExactTokensForTokensSupportingFeeOnTransferTokens, fungsi ini terutama mendukung Token dengan Biaya Transfer (Fee-On Transfer Token), yaitu token yang dikenakan biaya saat jual beli. PGNLZ menggunakan _update untuk menangani biaya transaksi, rantai panggilannya adalah: transferFrom -> _spendAllowance -> _transfer -> _update

Karena kali ini adalah penjualan (sell), maka akan memanggil _handleSellTax.

Mari kita lihat bagaimana _executeBurnFromLP diimplementasikan,

Dapat dilihat, _executeBurnFromLP akan menggunakan _update untuk membakar (burn) sejumlah PGNLZ sebanyak pendingBurnFromLP. Pada blok sebelumnya, query menunjukkan pendingBurnFromLP adalah 4.240.113.074.578.781.194.669.

Setelah pembakaran (burn), LP Pool hanya menyisakan 0,00000001 PGNLZ, saat ini 1 PGNLZ = 234.385.300.000.000 USDT, telah naik 40 Miliar kali lipat.

Akhirnya, penyerang mengosongkan LP Pool, melunasi pinjaman flash loan, dan mendapatkan keuntungan 100 ribu USDT.

Kesimpulan

Penyebab kerentanan ini adalah model ekonomi deflasioner, yang tidak melakukan verifikasi saat memotong biaya atau membakar LP Pool. Hal ini memungkinkan penyerang memanipulasi harga Token dengan memanfaatkan karakteristik deflasioner. Disarankan agar pihak proyek melakukan verifikasi多方验证 (berbagai verifikasi) dalam merancang model ekonomi dan logika operasional kode, serta memilih beberapa perusahaan audit untuk audit silang sebelum kontrak diluncurkan.

相關問答

QApa yang menjadi penyebab utama kerentanan dalam proyek PGNLZ yang dieksploitasi oleh penyerang?

APenyebab utamanya adalah model ekonomi deflasioner yang tidak memvalidasi proses pemotongan biaya atau pembakaran (Burn) dari Liquidity Pool (LP), memungkinkan penyerang memanipulasi harga token melalui karakteristik deflasi.

QBagaimana penyerang memanipulasi harga token PGNLZ hingga naik miliaran kali lipat?

APenyerang membakar sejumlah besar PGNLZ (982.506 token) ke alamat 0xdead, mengurangi pasokan di pool secara drastis. Kemudian, melalui fungsi _executeBurnFromLP, hampir semua sisa PGNLZ di pool dibakar, menyisakan hanya 0.00000001 token, sehingga harga naik sekitar 40 miliar kali.

QPlatform apa saja yang digunakan penyerang untuk melakukan serangan ini?

APenyerang menggunakan Moolah Protocol untuk pinjaman kilat (flash loan) BTCB, Venus Protocol sebagai jaminan untuk meminjam USDT, dan PancakeSwap untuk melakukan pertukaran token dan memanipulasi pool likuiditas PGNLZ/USDT.

QBerapa total kerugian yang disebabkan oleh serangan ini terhadap proyek PGNLZ?

ASerangan ini menyebabkan kerugian sekitar 100.000 USD.

QApa rekomendasi yang diberikan untuk mencegah serangan serupa di masa depan?

ARekomendasinya adalah memvalidasi model ekonomi dan logika kode secara menyeluruh, serta melakukan audit oleh beberapa perusahaan audit berbeda (audit silang) sebelum kontrak deploy ke mainnet.

你可能也喜歡

特朗普的43分钟:强人叙事失控,媒体战升级

消失一周多后,美国总统特朗普重新公开露面,举行了一场43分钟的发布会。面对对其健康状况、伊朗军事行动及党内裂痕的质疑,他并未着力展示掌控力,反而使发布会偏离核心议题。他先花时间谈论国家广场倒影池改造,后又将自己集会人数与马丁·路德·金相比,并持续攻击记者、民主党人及多个美国城市,呈现焦躁且防御性强的形象。 其间,他签署行政令,取消了约8000名高级联邦雇员的岗位保护,此举被指将削弱文官体系的专业性与独立性,使政府内部更强调对个人的忠诚。他对CNN记者的个人化攻击,以及文中提及的CBS等媒体面临的编辑独立危机,反映出政治权力与商业利益正对新闻业构成双重压力。 文章认为,特朗普试图抹黑媒体以削弱公众对真相的信任。当主流媒体可能妥协时,独立记者和创作者成为维护公共事实的关键力量。文章最后指出,发布会当天,众议院有共和党人倒戈,通过了一项要求结束伊朗战争的决议,这显示特朗普的偏执与对“不忠”的无法容忍,正在使其失去部分党内保护,也构成了作者对美国制度韧性仍抱希望的依据。

marsbit35 分鐘前

特朗普的43分钟:强人叙事失控,媒体战升级

marsbit35 分鐘前

Kalshi、MTS 与 a16z 的野望

本文探讨了预测市场在2025年成为投资热点的现象,并着重分析了其精神内核与风险投资机构a16z的新媒体战略之间的关联。 文章梳理了预测市场理念的演变:从哈耶克关于市场作为信息协调机制的理论,到Robin Hanson设计的经济激励机制,再到“Futarchy”治理乌托邦的设想。然而,作者指出,这些传统讨论在a16z关注该领域后才被赋予新的意义。 a16z于2025年投资了预测市场平台Kalshi,并将其估值推高至220亿美元。其核心理念在于,预测市场为用户提供了对抗后现代疏离感的“在场感”。通过真金白银的下注,用户从被动观察者转变为能介入和影响事件的“超级观察者”,从而获得对事件真实性与重要性的解释权。这使其成为a16z构建新媒体帝国的关键拼图。 文章以媒体公司MTS为例,说明a16z所倡导的“新媒体”是一种全频段、高强度的信息发布模式,旨在“接管时间线”。而Kalshi的独特价值在于,其市场交易数据凭借真实资金流动,具备了看似客观的权威性和强大的现实扭曲力场,能够影响公众认知与判断。这种能力正是其获得高估值的深层原因。

marsbit2 小時前

Kalshi、MTS 与 a16z 的野望

marsbit2 小時前

突发:OpenAI芯片元老加入Anthropic

OpenAI自研芯片团队早期核心成员Clive Chan宣布离职,并已正式加入竞争对手Anthropic。Clive Chan是OpenAI硬件团队的“002号员工”,全程参与了公司自研芯片项目从组建到推进的过程。他在声明中高度评价了OpenAI芯片团队的人才实力,但表示自己渴望“重新攀登一座新山”,因此选择加入Anthropic,并对Anthropic团队的人才、价值观和野心印象深刻。 关于OpenAI的自研芯片进展,Clive Chan未透露更多细节,但提及了OpenAI与博通在2025年10月公布的合作计划。根据该计划,双方将共同建设总规模达10GW的AI加速器系统,首批机架预计在2026年下半年开始交付。 Clive Chan毕业于滑铁卢大学,曾先后在谷歌、SpaceX、特斯拉等公司从事AI基础设施相关工作,于2024年1月加入OpenAI。此次跳槽后,Anthropic内部员工表示了欢迎,而网友则调侃这像“离开皇马加盟巴萨”。 近期,OpenAI与Anthropic之间人才流动频繁,此前OpenAI联合创始成员Andrej Karpathy也已加盟Anthropic。随着Anthropic近期完成巨额融资,估值逼近万亿美元,其与OpenAI在人才和资源上的竞争将持续受到关注。

marsbit2 小時前

突发:OpenAI芯片元老加入Anthropic

marsbit2 小時前

a16z 全球化转向:VC 正在成为美国科技联盟的「推手」

a16z(Andreessen Horowitz)发布公告,宣布其全球化战略发生重要转向:不再局限于海外寻找项目和投资,而是将自身定位融入更大的技术竞争与国际盟友合作框架中。面对AI、机器人、国防科技等成为国家竞争焦点的领域,创业公司面临复杂的国际监管、产业政策和地缘关系。a16z通过设立东京办公室、任命Anne Neuberger负责全球事务、将投资者关系团队升级为全球合作伙伴团队等举措,主动应对这一变化。 公告明确将a16z的全球网络与“美国及其盟友”的技术领导力绑定,标志着技术创新已进入国家安全和国际竞争语境。未来,风投的角色不仅是提供资本和增长建议,更要帮助创始人对接关键市场、政府机构和战略资源,理解多国政策环境。a16z旨在成为连接创业公司、国家能力、产业资源和全球资本的组织者,支持盟友国家在关键创新领域的合作,并助力投资组合公司进行全球扩张。这一布局体现了硅谷资本对全球科技竞争新格局的主动站位。

marsbit2 小時前

a16z 全球化转向:VC 正在成为美国科技联盟的「推手」

marsbit2 小時前

解读Agent商业、支付与基础设施的真相

作者基于一年来为Agent经济构建基础设施的经验,指出当前Agent商业尚未形成真实、规模化的市场需求,初创公司面临结构性挑战。 文章分析了四个关键场景: 1. **Agent对商户**:目前电商体验中,聊天界面在视觉比价购物上逊于传统界面,商户接入多出于防御性“优化”心态。对话式商业在如外卖等高頻、低决策场景有潜力,但受限于平台开放性和成本。 2. **Agent对API**:开发者现有支付方式(如预付)已能处理低频、小额的API调用成本问题。真正的机会在于服务长尾、小众的供应商市场,但规模有限。 3. **Agent对Agent**:这是长期的愿景,涉及机器间的自动交易与结算,需求真实但当前市场几乎为零,需要专用的基础设施。 4. **Agent对金融**:这是唯一存在现成需求和付费客户的领域。将AI嵌入金融工作流是自然演进,但竞争激烈,老牌机构优势明显。 文章认为,行业巨头因资金充足和战略防御而持续投入,但对初创公司而言,真正的机会并非单纯构建支付层。支付只是更宏大问题——**Agent与人类的协同工作、验证与结算**——的一部分。未来,解决协同问题的公司将主导市场,而非支付服务商。作者团队已转向一个存在真实需求、快速增长且未被充分服务的领域。

marsbit2 小時前

解读Agent商业、支付与基础设施的真相

marsbit2 小時前

交易

現貨
合約

熱門文章

什麼是 $WELL

WELL3, $$WELL:利用 DePIN 和 AI 變革健康和健身 簡介 在數字科技迅速發展的環境中,健康和健身行業站在創新的最前沿,努力改善病人護理並推廣更健康的生活方式。在這個領域中的一個突破性參與者是 WELL3,這是一個開創性的 Web3 項目,旨在徹底改變個人與健康的互動方式。通過利用去中心化的實體基礎設施網絡(DePIN)、去中心化身份(DID)和人工智能(AI)等技術,WELL3 努力促進安全、數據驅動的健康旅程。這篇全面的文章深入探討 WELL3 和 $$WELL 的核心方面,探索其功能、創建者、投資者和獨特特點。 WELL3, $$WELL 是什麼? WELL3 是一個創新的平台,旨在重新定義對健康和健身的看法。專注於整合 DePIN、DID 和 AI 系統,該項目旨在創建個性化的用戶體驗,同時確保個人健康數據的安全和隱私。擁有超過一百萬名預註冊用戶的驚人數字,WELL3 的主要使命是通過安全、數據驅動的健康旅程增強福祉。 WELL3 的核心使用先進的區塊鏈技術,以確保用戶擁有對其個人信息的完全控制。該項目不僅應對了數據安全和可訪問性的挑戰,還希望建立一個因共同致力於更好健康而聯繫在一起的活躍社區。 WELL3 的主要特點: DePIN 和 DID:這些技術使數據的安全擁有和認證成為可能,讓用戶對其信息擁有完全控制。 AI 整合:利用 AI 數據分析,WELL3 提供根據個人健康需求量身定制的見解和解決方案。 社區參與:促進一個支持的環境,使用戶可以互相連接、分享經驗,並互相激勵以追求更健康的生活。 WELL3, $$WELL 的創建者 WELL3 的創建者身份在現有的信息中仍未明確。隨著項目的進展,可能會出現更多細節,揭示出這一變革性倡議背後的遠見卓識。 WELL3, $$WELL 的投資者 WELL3 獲得了來自多個影響力投資機構的支持,展示了其在健康和健身領域的可信度和潛力。值得注意的投資者包括: Animoca Brands AWS Samsung The Spartan Group Blocore Fenbushi Capital Newman Group Soul Capital XY Finance Lumoz 這些知名組織的支持展示了對 WELL3 使命的強烈信念,為其創新和擴大服務提供了必要的資源。 WELL3, $$WELL 如何運作? WELL3 通過在多鏈框架中融合尖端技術,確保無縫和創新的用戶體驗。以下是一些將 WELL3 獨特定位於健身市場的因素: 1. 安全的數據擁有權 通過整合 DePIN 和 DID,用戶可以完全控制其個人健康信息。這種安全層在當今數字時代極為重要,因為數據洩露和未授權訪問隨處可見。通過 WELL3,數據擁有權是去中心化的,使用戶能夠主動管理其信息。 2. 通過 AI 個性化 WELL3 實施了基於 AI 的分析,為用戶提供量身定制的健康見解。通過利用 AI 的力量,該平台可以提供個性化的建議和解決方案,鼓勵用戶更有效地實現他們的健康目標。 3. 多鏈框架 WELL3 項目設計為跨多個區塊鏈平台運作,包括比特幣、以太坊、Polygon、Solana、Blast 和 TON。這種多鏈能力確保用戶能夠無縫地在不同網絡之間互動,提升可訪問性和可用性。 4. WELL 代幣 WELL3 生態系統的核心是 WELL 代幣,該代幣具有多種功能,包括實用性、治理和獎勵。該代幣允許參與生態系統,支持健康數據共享,並根據用戶與平台的互動進行獎勵。 WELL3, $$WELL 的時間表 WELL3 的發展過程中展示了重要的里程碑事件,每個事件都為項目的整體成功做出了貢獻。以下是 WELL3 歷史中關鍵事件的簡要時間表: 2024年2月10日:WELL3 推出了其 NFT 項目,迅速崛起為 opBNB 鏈上最大的 NFT 收藏,擁有超過 324,000 名擁有者,並在 2024 年 4 月 27 日前創建超過 800 萬個 NFT。 公開銷售:該項目在短短七天內達到約 15,237.2 ETH 的總鎖定價值(TVL),顯示出強勁的市場興趣和支持。 WELL ID 推出:平台吸引了超過 900,000 名用戶註冊 WELL ID 及其相應的 NFT Ring 白名單,標誌著生態系統內的重要採用階段。 夥伴關係發展:WELL3 與包括 Animoca Brands、AWS、Samsung 等領先實體建立了夥伴關係,以增強其生態系統並擴大其影響範圍。 交易量:WELL3 已促成超過 1700 萬美元的交易,反映其在健康和健身社區中的日益實用性和參與度。 有關 WELL3, $$WELL 的要點 作為一個向健身市場推進的進步倡議,WELL3 確定了幾個至關重要的元素,將促進其持續成功。以下是一些重要的重點: 代幣經濟學 $$WELL 代幣的最大供應為420 億,其中71%專門用於社區倡議。這一分配策略強調了該項目對其用戶基礎和長期可持續性的承諾。 鎖倉期 為確保生態系統的穩定,代幣將在24 個月的鎖倉期內分批釋放,以促進用戶之間的信任和信心。 生態系統發展 WELL3 的願景延伸至創建一個全面和可持續的生態系統,以鼓勵繁榮的社區參與、增強健康的行為和解決滿足健身領域迫切需求的數字解決方案。 市場適應性 健康產業的價值為5.6 萬億美元,為 WELL3 提供了盈利的機會。該項目預計每年增長率為5-10%,到位於健康意識生活上升趨勢之中。 可穿戴設備 推出的 WELL3 Ring 是一種加密激勵可穿戴設備,符合對個性化健康數據日益增長的需求。該設備不僅提升了用戶體驗,還重新定義了在 Web3 背景下與個人健康互動的意義。 結論 WELL3 代表了在健康和健身行業中整合區塊鏈技術的重大進展。通過解決關於數據擁有權、個性化和社區參與的關鍵問題,這個創新平台為增強個人福祉提供了前瞻性的解決方案。憑藉著來自知名投資者的強力支持和對開創性技術的承諾,WELL3 準備在健身領域產生持久影響。對於那些希望在數字時代擺脫健康複雜性的人來說,WELL3 無疑是值得關注的一個,因為它將持續進化和增長。

76 人學過發佈於 2024.07.14更新於 2024.12.03

什麼是 $WELL

如何購買WELL

歡迎來到HTX.com!在這裡,購買Moonwell Artemis (WELL)變得簡單而便捷。跟隨我們的逐步指南,放心開始您的加密貨幣之旅。第一步:創建您的HTX帳戶使用您的 Email、手機號碼在HTX註冊一個免費帳戶。體驗無憂的註冊過程並解鎖所有平台功能。立即註冊第二步:前往買幣頁面,選擇您的支付方式信用卡/金融卡購買:使用您的Visa或Mastercard即時購買Moonwell Artemis (WELL)。餘額購買:使用您HTX帳戶餘額中的資金進行無縫交易。第三方購買:探索諸如Google Pay或Apple Pay等流行支付方式以增加便利性。C2C購買:在HTX平台上直接與其他用戶交易。HTX 場外交易 (OTC) 購買:為大量交易者提供個性化服務和競爭性匯率。第三步:存儲您的Moonwell Artemis (WELL)購買Moonwell Artemis (WELL)後,將其存儲在您的HTX帳戶中。您也可以透過區塊鏈轉帳將其發送到其他地址或者用於交易其他加密貨幣。第四步:交易Moonwell Artemis (WELL)在HTX的現貨市場輕鬆交易Moonwell Artemis (WELL)。前往您的帳戶,選擇交易對,執行交易,並即時監控。HTX為初學者和經驗豐富的交易者提供了友好的用戶體驗。

250 人學過發佈於 2024.12.13更新於 2026.06.02

如何購買WELL

相關討論

歡迎來到 HTX 社群。在這裡,您可以了解最新的平台發展動態並獲得專業的市場意見。 以下是用戶對 WELL (WELL)幣價的意見。

活动图片

熱門問答

熱門分類right-arrow

熱門標籤right-arrow