Una "autodestrucción" cuidadosamente diseñada: Análisis del ataque a PGNLZ

marsbit發佈於 2026-01-28更新於 2026-01-28

文章摘要

Resumen del ataque a PGNLZ (26 de enero de 2026): Un atacante explotó un error en el modelo económico deflacionario del token PGNLZ en BNB Smart Chain, causando pérdidas de aproximadamente 100.000 USD. Tras obtener un flash loan de 1.059 BTCB y 30 millones de USDT, el atacante intercambió 23,3 millones de USDT por 982.506 PGNLZ en PancakeSwap y luego los quemó, alterando drásticamente el ratio del pool. Mediante la función de quema automática en las transacciones (_executeBurnFromLP), se eliminaron grandes cantidades de PGNLZ del pool de liquidez, inflando artificialmente el precio del token en 40 mil millones de veces. Finalmente, el atacante vació el pool, pagó el préstamo y obtuvo ganancias. La vulnerabilidad radicó en la falta de validación durante las operaciones de quema y comisiones. Se recomienda a los proyectos validar exhaustivamente los modelos económicos y realizar auditorías múltiples.

Introducción

El 27 de enero de 2026, detectamos un ataque en BNB Smart Chain contra el proyecto PGNLZ:

https://bscscan.com/tx/0xa7488ff4d6a85bf19994748837713c710650378383530ae709aec628023cd7cc

Tras un análisis detallado, el atacante llevó a cabo un ataque continuo contra el proyecto PGNLZ el 27 de enero de 2026, causando pérdidas de aproximadamente 100.000 USD.

Análisis del ataque y eventos

El atacante primero tomó un préstamo flash de 1.059 BTCB del Protocolo Moolah,

Posteriormente, depositó como garantía 1.059 BTCB en Venus Protocol, para tomar prestados 30.000.000 USDT.

A continuación, el atacante llamó a la función swapTokensForExactTokens en PancakeSwap, utilizando 23.337.952 USDT para cambiar por 982.506 PGNLZ, pero luego destruyó estos PGNLZ (los envió a 0xdead).

Antes del intercambio, el Pool de PancakeSwap tenía 100.901 USDT y 982.506 PGNLZ, momento en el que el precio de PGNLZ era de 1 PGNLZ = 0,1 USDT. Después del intercambio, el Pool de PancakeSwap quedó con 23.438.853 USDT y 4.240 PGNLZ, momento en el que el precio de PGNLZ era de 1 PGNLZ = 5.528 USDT.

Posteriormente, el atacante llamó a la función swapExactTokensForTokensSupportingFeeOnTransferTokens, una función diseñada principalmente para admitir tokens con tarifas en las transferencias (Fee-On Transfer Token). PGNLZ utiliza _update para manejar las tarifas de las transacciones, y la cadena de llamadas es: transferFrom -> _spendAllowance -> _transfer -> _update

Como esta operación era una venta (sell), se llamó a _handleSellTax.

Veamos cómo se implementa _executeBurnFromLP,

Se puede observar que _executeBurnFromLP utiliza _update para quemar (burn) la cantidad de PGNLZ especificada en pendingBurnFromLP. En el bloque anterior, se consultó que pendingBurnFromLP era 4.240.113.074.578.781.194.669.

Después de la quema, el LP Pool solo quedó con 0,00000001 PGNLZ, momento en el que 1 PGNLZ = 234.385.300.000.000 USDT, un aumento de 40 mil millones de veces.

Finalmente, el atacante vació el LP Pool, pagó el préstamo flash y obtuvo una ganancia de 100.000 USDT.

Conclusión

La causa de esta vulnerabilidad fue el modelo económico deflacionario, que no realizaba las verificaciones adecuadas al deducir tarifas o quemar el LP Pool. Esto permitió al atacante manipular el precio del Token aprovechando la característica deflacionaria. Se recomienda a los proyectos validar exhaustivamente el diseño del modelo económico y la lógica de ejecución del código, y optar por auditorías cruzadas de múltiples empresas de auditoría antes de lanzar el contrato.

相關問答

Q¿Qué es el ataque PGNLZ y cuándo ocurrió?

AEl ataque PGNLZ fue un exploit dirigido al proyecto PGNLZ en BNB Smart Chain, ocurrido el 27 de enero de 2026, que resultó en pérdidas de aproximadamente 100,000 USD.

Q¿Cómo manipuló el atacante el precio del token PGNLZ?

AEl atacante quemó una gran cantidad de tokens PGNLZ en el pool de liquidez, reduciendo drásticamente la oferta y manipulando el precio para inflarlo artificialmente en 40 mil millones de veces.

Q¿Qué protocolos y funciones utilizó el atacante durante el ataque?

AUtilizó un flash loan de Moolah Protocol, colateralizó BTCB en Venus Protocol, y ejecutó funciones como swapTokensForExactTokens y swapExactTokensForTokensSupportingFeeOnTransferTokens en PancakeSwap.

Q¿Cuál fue la vulnerabilidad clave explotada en el contrato de PGNLZ?

ALa vulnerabilidad fue un modelo económico deflacionario que no validaba adecuadamente las tarifas o quemas de tokens, permitiendo la manipulación del precio mediante la reducción artificial de la oferta.

Q¿Qué recomendación se da para prevenir este tipo de ataques en el futuro?

ASe recomienda validar exhaustivamente el modelo económico y la lógica del código, y realizar auditorías cruzadas con múltiples empresas de seguridad antes de lanzar el contrato.

你可能也喜歡

BTC“数字黄金”的叙事是不是失败了?

标题:BTC“数字黄金”的叙事是不是失败了? 作者:@wuk_Bitcoin 本文从三个核心问题出发,探讨比特币的现状与未来。 **如何看待比特币?** 作者认为比特币是一种全新的、更优秀的“黄金”类资产。其优势在于:总量恒定(2100万枚);资产可转移性极强,在全球不确定性时代具备溢价;所有交易链上可审计,透明度高。反驳了比特币主要用于灰色地带的过时观点,指出其正走向合规。目前全球数字货币渗透率仅约3%-4%,类比互联网和电商早期,意味着该资产类别仍处早期,潜力与巨大波动并存。 **如何理解本轮下跌?** 比特币自2025年10月高点(近12.6万美元)持续下跌,2026年2月初曾单日暴跌15%,跌破6.1万美元。这被视为遵循其四年减半周期的规律性回调,是长期持有者在周期高点锁定利润的结果。本轮下跌的特殊性在于:美国比特币ETF的批准引入了大量机构新资金,但也促使成本极低的早期持有者(矿工、OG)进行历史性抛售,即从“早期信仰者”向“长期配置机构”的换手过程。历史数据显示,比特币历次大回撤的跌幅在逐步收窄(从93%到目前的约50%),表明资产在成熟,波动率在下降,但高波动仍是获取超额回报的代价。 **长期怎么看?** 若将比特币视为“数字黄金”,其当前总市值(约1.4万亿美元)仅为黄金总市值(约20万亿美元)的7%。即使该叙事仅部分实现,上行空间依然可观。但作者强调短期风险:换手可能未结束,市场脆弱,不排除进一步下跌。真正的风险不在于资产归零(概率极低),而在于错误的仓位管理(如All-in、加杠杆)和对资产缺乏深度理解,这可能导致投资者无法承受巨大波动而提前被迫出局。 **最后对比** 作者以亚马逊在互联网泡沫破裂后股价跌95%又最终上涨42倍为例,指出关键在于“活着等到那一天”。对于比特币,核心同样是能否通过理性仓位管理活到其价值兑现之时。文末提问:当黄金大涨而比特币大跌,这究竟是“数字黄金”叙事的失败,还是资产进化过程中的阵痛?答案取决于每个人对比特币最底层的信仰。

链捕手4 分鐘前

BTC“数字黄金”的叙事是不是失败了?

链捕手4 分鐘前

从代码到认知:机器人大脑进化的万字指南

本文概述了机器人大脑从传统代码控制到现代人工智能模型驱动的演进历程。文章首先回顾了前大型语言模型(LLM)时代,机器人依赖手工编码的模块化技术栈(感知、状态估计、规划、控制)和行为树,虽稳定但泛化能力差。随后,深度学习改进了感知,强化学习和模仿学习进入了控制层,但策略仍较为狭窄。 ChatGPT的出现带来了转折。LLM最初被用作自然语言编译器,将指令转化为机器人可执行的原子技能序列(如谷歌的SayCan)。但更重要的突破是视觉-语言-动作模型(VLA),例如谷歌的RT-2和开源的OpenVLA,它能将视觉、语言信息融合,直接输出动作指令,实现了推理与行动的耦合。 目前最先进的系统采用“双脑”架构(如Figure AI的Helix、NVIDIA GR00T):一个慢速、参数多的“系统2”负责高层次推理和规划;一个快速、小巧的“系统1”负责高频动作生成。其下还可能有一个“系统0”反射层处理平衡等底层控制。出于延迟和可靠性考虑,安全关键的控制回路通常在机器人本地(如NVIDIA Jetson模块)运行,而对话界面和集群学习等任务可交由云端。 开源模型(如OpenVLA、GR00T、π0)降低了行业门槛,让初创公司能在其基础上用自有数据微调。然而,当前VLA机器人仍存在任务中途恢复能力弱、样本效率低、缺乏物理常识和长期规划能力等局限。 这催生了下一代方向:世界模型。这类模型(如NVIDIA Cosmos、Meta V-JEPA)能根据当前状态和动作预测未来结果,让机器人在行动前进行模拟和评估,从而改善恢复能力、泛化能力和长期规划。架构上主要分为像素级视频扩散、联合嵌入预测架构(JEPA)和潜在动作世界模型等流派。 文章最后指出,数据采集(特别是远程操作数据)是核心竞争力,仿真训练至关重要,机器人成本正在迅速下降。当前物理AI的发展阶段大约相当于“GPT-2时代”,虽未完全自主,但正通过架构的持续演进(从代码到感知、规划、策略,最终到世界模型),朝着更通用、更强大的方向稳步前进。

marsbit33 分鐘前

从代码到认知:机器人大脑进化的万字指南

marsbit33 分鐘前

AI 泡沫正在破裂

近期市场剧烈波动,“AI泡沫论”甚嚣尘上。桥水达利欧认为AI市场存在“相对较高”的泡沫,而英伟达黄仁勋则强调AI算力需求才刚刚开始。两者观点看似矛盾,实则揭示了技术革命初期的典型特征:市场因高估短期影响而产生泡沫,却往往低估其长期颠覆性力量。 回顾2000年互联网泡沫,纳指暴跌78%,超5万亿美元财富蒸发,大量公司破产。然而,泡沫破裂后留下的廉价电信基础设施(如海底光缆),却成为日后流媒体、云计算乃至移动互联网崛起的基石。这符合“阿玛拉定律”:人们高估技术的短期影响,低估其长期影响。泡沫是创新必须缴纳的“智商税”,其破裂能淘汰投机者,沉淀下坚固的基础设施,滋养真正伟大的公司。 当前AI行业同样呈现巨大的“投入-产出”不对称:2026年,五大云服务商的AI基础设施资本开支预计达6900亿美元,而头部纯AI厂商的总收入预计不超过400亿美元。但深层逻辑正在演变:AI推理成本在两年内暴跌超过99.7%,接近零的边际成本解锁了海量长尾需求,驱动企业AI支出翻倍增长。这印证了“杰文斯悖论”——效率提升导致总消耗量指数级上升。如今,各行业关心的已非“是否用AI”,而是如何更有效地整合AI。 市场已进入“幻灭的低谷”前夕,缺乏护城河的套壳公司正批量死亡,这是市场的自我净化。与此同时,价值转移正在发生:1. 从资本开支(CapEx,如硬件)向运营开支(OpEx,如解决垂直行业痛点的应用)转移;2. 高估值正被高速增长的业绩逐步消化。AI已深入制造业(缩短研发周期)、金融(微秒级定价)、法律、医疗等专业领域,成为实质性的生产力工具。 历史总在重演“创造性毁灭”。当下近7000亿美元的基建投资短期内无法全部转化为利润,市场洗牌不可避免。但洗牌之后,廉价的算力与高度优化的算法将赋能千行百业。正如互联网泡沫后我们迎来了数字时代,AI泡沫的喧嚣过后,我们将不可逆转地迈向一个所有行业都由AI深度赋能的智能全盛时代。泡沫终会破裂,但底层先进生产力的势能,没有水分。

链捕手43 分鐘前

AI 泡沫正在破裂

链捕手43 分鐘前

AI 泡沫正在破裂

近期市场对“AI泡沫论”讨论激烈。桥水基金创始人达利欧认为AI市场存在较高泡沫,而英伟达CEO黄仁勋则强调算力需求刚起步。两者观点看似矛盾,实则反映了技术革命初期的典型特征:短期存在投机泡沫,但长期看,AI是颠覆性的先进生产力。 文章以2000年互联网泡沫类比。当时大量.com公司破产,纳指暴跌,但泡沫破裂后留下的廉价基础设施(如光缆)滋养了后来的谷歌、亚马逊等巨头,推动了互联网时代的真正繁荣。这体现了“阿玛拉定律”——人们高估技术的短期影响,低估其长期影响。 当前AI领域同样存在巨大投入与收入不匹配的现象。2026年,主要云服务商的AI基础设施投资预计达6900亿美元,而头部AI公司的总收入仅约400亿美元。然而,这不能简单视为泡沫破裂的信号。关键变化在于AI推理成本急剧下降,两年内降幅超99.7%,这反而激发了海量的新应用需求,企业AI支出大幅增长。这符合“杰文斯悖论”:效率提升导致成本下降,进而刺激总需求上升。 如今,AI已深入各行各业,从生物医药到制造业,企业关注点已从“是否用AI”转向如何优化应用。市场正在进行自然净化,淘汰缺乏核心竞争力的套壳公司,价值将从基础设施层(CapEx)向解决实际问题的应用层(OpEx)转移。 尽管资本市场可能出现波动和估值调整,但AI技术本身正在扎实地提升各行业效率,例如缩短研发周期、优化金融服务等。如同互联网泡沫后开启了数字时代,当前AI领域的调整是为未来智能时代铺路。泡沫终会消退,但AI驱动的生产力革命已不可逆转。

marsbit44 分鐘前

AI 泡沫正在破裂

marsbit44 分鐘前

下一个比特币ETF热潮可能来自日本——原因如下

美国现货比特币ETF近期表现持续低迷,随着加密货币市场再次进入调整,数据显示这些ETF在5月中旬至6月初连续13个交易日出现净流出,投资者撤资约43.3亿美元。不过,其净资产规模仍达751.2亿美元。 与此同时,市场开始关注下一个可能推出重要比特币ETF的国家,日本被视为有力候选者。分析师指出,日本监管机构正推动将加密资产从《支付服务法》框架转向《金融工具与交易法》管辖,使其被认可为投资产品。这一改革正将讨论焦点从“是否”批准转向“何时”批准。 若改革成功,日本庞大的家庭金融资产(约2,350万亿日元)和投资基金(约300万亿日元)可能为比特币ETF提供巨大潜力。分析预测,在保守情景下,日本现货比特币ETF可能吸引约9,000亿日元(约56.1亿美元)资金;在基准情景下,规模可能达1.4万亿日元(约87.3亿美元),相当于需求约14万枚比特币;在乐观情景下,首年资金流入可能高达3.1万亿日元(约193.4亿美元)。 分析师强调,日本比特币ETF的推出不仅可能推动价格上涨,更能降低投资者参与门槛,使财富管理机构更容易推荐比特币配置,提升机构投资者的信心,并增强比特币在传统金融中的合法性。 当前比特币价格约为61,038美元,24小时内下跌2.81%。

bitcoinist1 小時前

下一个比特币ETF热潮可能来自日本——原因如下

bitcoinist1 小時前

交易

現貨
合約

熱門文章

什麼是 $WELL

WELL3, $$WELL:利用 DePIN 和 AI 變革健康和健身 簡介 在數字科技迅速發展的環境中,健康和健身行業站在創新的最前沿,努力改善病人護理並推廣更健康的生活方式。在這個領域中的一個突破性參與者是 WELL3,這是一個開創性的 Web3 項目,旨在徹底改變個人與健康的互動方式。通過利用去中心化的實體基礎設施網絡(DePIN)、去中心化身份(DID)和人工智能(AI)等技術,WELL3 努力促進安全、數據驅動的健康旅程。這篇全面的文章深入探討 WELL3 和 $$WELL 的核心方面,探索其功能、創建者、投資者和獨特特點。 WELL3, $$WELL 是什麼? WELL3 是一個創新的平台,旨在重新定義對健康和健身的看法。專注於整合 DePIN、DID 和 AI 系統,該項目旨在創建個性化的用戶體驗,同時確保個人健康數據的安全和隱私。擁有超過一百萬名預註冊用戶的驚人數字,WELL3 的主要使命是通過安全、數據驅動的健康旅程增強福祉。 WELL3 的核心使用先進的區塊鏈技術,以確保用戶擁有對其個人信息的完全控制。該項目不僅應對了數據安全和可訪問性的挑戰,還希望建立一個因共同致力於更好健康而聯繫在一起的活躍社區。 WELL3 的主要特點: DePIN 和 DID:這些技術使數據的安全擁有和認證成為可能,讓用戶對其信息擁有完全控制。 AI 整合:利用 AI 數據分析,WELL3 提供根據個人健康需求量身定制的見解和解決方案。 社區參與:促進一個支持的環境,使用戶可以互相連接、分享經驗,並互相激勵以追求更健康的生活。 WELL3, $$WELL 的創建者 WELL3 的創建者身份在現有的信息中仍未明確。隨著項目的進展,可能會出現更多細節,揭示出這一變革性倡議背後的遠見卓識。 WELL3, $$WELL 的投資者 WELL3 獲得了來自多個影響力投資機構的支持,展示了其在健康和健身領域的可信度和潛力。值得注意的投資者包括: Animoca Brands AWS Samsung The Spartan Group Blocore Fenbushi Capital Newman Group Soul Capital XY Finance Lumoz 這些知名組織的支持展示了對 WELL3 使命的強烈信念,為其創新和擴大服務提供了必要的資源。 WELL3, $$WELL 如何運作? WELL3 通過在多鏈框架中融合尖端技術,確保無縫和創新的用戶體驗。以下是一些將 WELL3 獨特定位於健身市場的因素: 1. 安全的數據擁有權 通過整合 DePIN 和 DID,用戶可以完全控制其個人健康信息。這種安全層在當今數字時代極為重要,因為數據洩露和未授權訪問隨處可見。通過 WELL3,數據擁有權是去中心化的,使用戶能夠主動管理其信息。 2. 通過 AI 個性化 WELL3 實施了基於 AI 的分析,為用戶提供量身定制的健康見解。通過利用 AI 的力量,該平台可以提供個性化的建議和解決方案,鼓勵用戶更有效地實現他們的健康目標。 3. 多鏈框架 WELL3 項目設計為跨多個區塊鏈平台運作,包括比特幣、以太坊、Polygon、Solana、Blast 和 TON。這種多鏈能力確保用戶能夠無縫地在不同網絡之間互動,提升可訪問性和可用性。 4. WELL 代幣 WELL3 生態系統的核心是 WELL 代幣,該代幣具有多種功能,包括實用性、治理和獎勵。該代幣允許參與生態系統,支持健康數據共享,並根據用戶與平台的互動進行獎勵。 WELL3, $$WELL 的時間表 WELL3 的發展過程中展示了重要的里程碑事件,每個事件都為項目的整體成功做出了貢獻。以下是 WELL3 歷史中關鍵事件的簡要時間表: 2024年2月10日:WELL3 推出了其 NFT 項目,迅速崛起為 opBNB 鏈上最大的 NFT 收藏,擁有超過 324,000 名擁有者,並在 2024 年 4 月 27 日前創建超過 800 萬個 NFT。 公開銷售:該項目在短短七天內達到約 15,237.2 ETH 的總鎖定價值(TVL),顯示出強勁的市場興趣和支持。 WELL ID 推出:平台吸引了超過 900,000 名用戶註冊 WELL ID 及其相應的 NFT Ring 白名單,標誌著生態系統內的重要採用階段。 夥伴關係發展:WELL3 與包括 Animoca Brands、AWS、Samsung 等領先實體建立了夥伴關係,以增強其生態系統並擴大其影響範圍。 交易量:WELL3 已促成超過 1700 萬美元的交易,反映其在健康和健身社區中的日益實用性和參與度。 有關 WELL3, $$WELL 的要點 作為一個向健身市場推進的進步倡議,WELL3 確定了幾個至關重要的元素,將促進其持續成功。以下是一些重要的重點: 代幣經濟學 $$WELL 代幣的最大供應為420 億,其中71%專門用於社區倡議。這一分配策略強調了該項目對其用戶基礎和長期可持續性的承諾。 鎖倉期 為確保生態系統的穩定,代幣將在24 個月的鎖倉期內分批釋放,以促進用戶之間的信任和信心。 生態系統發展 WELL3 的願景延伸至創建一個全面和可持續的生態系統,以鼓勵繁榮的社區參與、增強健康的行為和解決滿足健身領域迫切需求的數字解決方案。 市場適應性 健康產業的價值為5.6 萬億美元,為 WELL3 提供了盈利的機會。該項目預計每年增長率為5-10%,到位於健康意識生活上升趨勢之中。 可穿戴設備 推出的 WELL3 Ring 是一種加密激勵可穿戴設備,符合對個性化健康數據日益增長的需求。該設備不僅提升了用戶體驗,還重新定義了在 Web3 背景下與個人健康互動的意義。 結論 WELL3 代表了在健康和健身行業中整合區塊鏈技術的重大進展。通過解決關於數據擁有權、個性化和社區參與的關鍵問題,這個創新平台為增強個人福祉提供了前瞻性的解決方案。憑藉著來自知名投資者的強力支持和對開創性技術的承諾,WELL3 準備在健身領域產生持久影響。對於那些希望在數字時代擺脫健康複雜性的人來說,WELL3 無疑是值得關注的一個,因為它將持續進化和增長。

76 人學過發佈於 2024.07.14更新於 2024.12.03

什麼是 $WELL

如何購買WELL

歡迎來到HTX.com!在這裡,購買Moonwell Artemis (WELL)變得簡單而便捷。跟隨我們的逐步指南,放心開始您的加密貨幣之旅。第一步:創建您的HTX帳戶使用您的 Email、手機號碼在HTX註冊一個免費帳戶。體驗無憂的註冊過程並解鎖所有平台功能。立即註冊第二步:前往買幣頁面,選擇您的支付方式信用卡/金融卡購買:使用您的Visa或Mastercard即時購買Moonwell Artemis (WELL)。餘額購買:使用您HTX帳戶餘額中的資金進行無縫交易。第三方購買:探索諸如Google Pay或Apple Pay等流行支付方式以增加便利性。C2C購買:在HTX平台上直接與其他用戶交易。HTX 場外交易 (OTC) 購買:為大量交易者提供個性化服務和競爭性匯率。第三步:存儲您的Moonwell Artemis (WELL)購買Moonwell Artemis (WELL)後,將其存儲在您的HTX帳戶中。您也可以透過區塊鏈轉帳將其發送到其他地址或者用於交易其他加密貨幣。第四步:交易Moonwell Artemis (WELL)在HTX的現貨市場輕鬆交易Moonwell Artemis (WELL)。前往您的帳戶,選擇交易對,執行交易,並即時監控。HTX為初學者和經驗豐富的交易者提供了友好的用戶體驗。

250 人學過發佈於 2024.12.13更新於 2026.06.02

如何購買WELL

相關討論

歡迎來到 HTX 社群。在這裡,您可以了解最新的平台發展動態並獲得專業的市場意見。 以下是用戶對 WELL (WELL)幣價的意見。

活动图片

熱門問答

熱門分類right-arrow

熱門標籤right-arrow