Une « autodestruction » soigneusement conçue : Analyse de l'attaque PGNLZ

marsbit發佈於 2026-01-28更新於 2026-01-28

文章摘要

Une attaque soigneusement planifiée contre le projet PGNLZ sur BNB Smart Chain a été détectée le 27 janvier 2026, causant une perte d’environ 100 000 USD. L’attaquant a utilisé un flash loan de 1 059 BTCB via Moolah Protocol, puis les a déposés comme garantie sur Venus Protocol pour emprunter 30 000 000 USDT. Ensuite, l’attaquant a échangé 23 337 952 USDT contre 982 506 PGNLZ sur PancakeSwap, mais a immédiatement brûlé ces tokens (en les envoyant à l’adresse 0xdead). Cette action a drastiquement réduit l’offre de PGNLZ dans le pool, faisant monter son prix de 0,1 USDT à 5 528 USDT. L’attaquant a ensuite exploité la fonction de taxe de vente (Fee-On Transfer) du token, qui déclenchait un mécanisme de brûlage (_executeBurnFromLP) supprimant presque entièrement les tokens restants du pool. Le prix a alors été artificiellement gonflé à 234 385 300 000 000 USDT par PGNLZ, permettant à l’attaquant de vider le pool et de réaliser un profit après remboursement du prêt. La cause principale de cette vulnérabilité est un modèle économique déflationniste mal sécurisé, sans vérification adéquate lors des opérations de taxation ou de brûlage. Il est recommandé aux projets de bien valider leurs mécanismes économiques et de réaliser des audits croisés avant le déploiement.

Contexte

Le 27 janvier 2026, nous avons détecté une attaque sur le projet PGNLZ sur le BNB Smart Chain :

https://bscscan.com/tx/0xa7488ff4d6a85bf19994748837713c710650378383530ae709aec628023cd7cc

Après une analyse détaillée, l'attaquant a lancé une attaque soutenue contre le projet PGNLZ le 27 janvier 2026, causant une perte d'environ 100 000 USD.

Analyse de l'attaque et de l'événement

L'attaquant a d'abord emprunté 1 059 BTCB via un flash loan auprès de Moolah Protocol,

Puis, il a déposé ces 1 059 BTCB en collatéral sur Venus Protocol pour emprunter 30 000 000 USDT.

Ensuite, l'attaquant a appelé la fonction `swapTokensForExactTokens` sur PancakeSwap, utilisant 23 337 952 USDT pour échanger contre 982 506 PGNLZ, mais a ensuite brûlé ces PGNLZ (en les envoyant à l'adresse 0xdead).

Avant l'échange, le pool PancakeSwap contenait 100 901 USDT et 982 506 PGNLZ, le prix du PGNLZ était donc de 1 PGNLZ = 0,1 USDT. Après l'échange, le pool PancakeSwap contenait 23 438 853 USDT et 4 240 PGNLZ, le prix du PGNLZ est alors passé à 1 PGNLZ = 5 528 USDT.

Par la suite, l'attaquant a appelé la fonction `swapExactTokensForTokensSupportingFeeOnTransferTokens`, une fonction conçue pour prendre en charge les tokens avec frais de transfert (Fee-On Transfer Token). PGNLZ utilise `_update` pour gérer les frais de transaction, la chaîne d'appel spécifique étant : `transferFrom` -> `_spendAllowance` -> `_transfer` -> `_update`.

Comme il s'agissait d'une vente (sell), la fonction `_handleSellTax` a été appelée.

Examinons comment `_executeBurnFromLP` est implémentée,

On peut voir que `_executeBurnFromLP` utilise `_update` pour brûler la quantité de PGNLZ définie par `pendingBurnFromLP`. Le bloc précédent indiquait que `pendingBurnFromLP` était de 4 240 113 074 578 781 194 669.

Après le burn, il ne restait plus que 0,00000001 PGNLZ dans le pool de liquidité (LP Pool), le prix est alors passé à 1 PGNLZ = 234 385 300 000 000 USDT, soit une multiplication par 40 milliards.

Enfin, l'attaquant a vidé le LP Pool, a remboursé le flash loan, et a réalisé un profit de 100 000 USDT.

Conclusion

La cause de cette vulnérabilité réside dans le modèle économique déflationniste, qui ne valide pas les frais prélevés ou la combustion du pool de liquidité. Cela a permis à l'attaquant de manipuler le prix du token en exploitant ses caractéristiques déflationnistes. Il est recommandé aux projets de valider minutieusement la conception de leur modèle économique et la logique d'exécution du code, et de privilégier un audit croisé par plusieurs sociétés d'audit avant le déploiement du contrat.

相關問答

QQuel est la cause principale de l'attaque contre le projet PGNLZ sur BNB Smart Chain ?

ALa cause principale est le modèle économique déflationniste du token, avec une vulnérabilité dans la vérification lors des frais de transaction ou de la destruction des tokens du pool de liquidité, permettant à l'attaquant de manipuler le prix.

QComment l'attaquant a-t-il initialement obtenu les fonds pour lancer l'attaque ?

AL'attaquant a obtenu un flash loan de 1 059 BTCB auprès de Moolah Protocol, qu'il a ensuite utilisé comme garantie pour emprunter 30 000 000 USDT sur Venus Protocol.

QQuelle action spécifique a provoqué l'augmentation massive du prix du PGNLZ ?

AL'attaquant a brûlé une énorme quantité de PGNLZ (4 240 113 074 578 781 194 669 tokens) via la fonction _executeBurnFromLP, ne laissant que 0,00000001 PGNLZ dans le pool, ce qui a fait monter le prix de 40 milliards de fois.

QQuel était le prix du PGNLZ avant et après la manipulation par l'attaquant ?

AAvant la manipulation : 1 PGNLZ = 0,1 USDT. Après la manipulation : 1 PGNLZ = 234 385 300 000 000 USDT.

QQuelle est la recommandation principale pour éviter ce type d'attaque à l'avenir ?

AIl est recommandé de valider soigneusement le modèle économique et la logique du code, et de faire auditer le contrat par plusieurs sociétés d'audit différentes avant son déploiement.

你可能也喜歡

比特币现货ETF遭遇近3个月最大净流出,资金撤出达12.6亿美元 – 详情

上周,美国13只比特币现货ETF出现大规模资金净流出,总额达12.6亿美元,创下近三个月来最高纪录。数据显示,这已是该市场连续第六个交易日录得资金净流出。 具体来看,周一单日净流出高达6.49亿美元,为自1月29日以来最大单日撤资。后续几日虽有减少,但仍持续净流出。主要基金中,贝莱德旗下IBIT净流出10.1亿美元,富达的FBTC和Ark/21Shares的ARKB也分别出现1.115亿和1.068亿美元的净流出。新晋的摩根士丹利MSBT是唯一录得净流入的基金。 至此,比特币现货ETF在5月已累计净流出10亿美元,其总累计净流入降至570.8亿美元。 与此同时,以太坊现货ETF表现同样疲弱,上周净流出2.1519亿美元,已连续十个交易日遭遇撤资,累计净流出达4.711亿美元。 截至发稿时,比特币价格报76,735美元,日内上涨1.75%;以太坊报2,119美元,日内上涨2.78%。

bitcoinist4 小時前

比特币现货ETF遭遇近3个月最大净流出,资金撤出达12.6亿美元 – 详情

bitcoinist4 小時前

DeepSeek永久降价,但梁文锋并不想做「赛博菩萨」

DeepSeek宣布将V4-Pro API的75%折扣永久化,全球同步生效,基础输入/输出价格大幅降低至0.435美元/百万Token和0.87美元/百万Token。在AI行业普遍涨价的背景下,这一逆势降价行动被社区称为“赛博菩萨”行为。但创始人梁文锋并非纯粹做慈善,而是选择了开源普惠的商业模式。 当前AI行业正变得越来越贵,微软、Uber等大公司的Token预算消耗远超预期,而Anthropic、OpenAI和谷歌等巨头已在过去六个月内悄悄提价。随着用户习惯建立,AI补贴时代已结束,供需关系反转导致价格上涨。 DeepSeek的持续降价展现了一种反向定价权。其竞争力来源于多个方面:国产昇腾算力支持未来将进一步降低成本;中国相对较低的AI人才成本;最重要的是能源体系优势——中国西部绿电价格仅为欧美的1/5到1/4,且拥有完整的电力结构和“东数西算”等调度能力,电力成本占AI运营成本的60%-70%,这构成了系统性的成本优势。 虽然DeepSeek V4与顶尖闭源模型仍有客观差距,且商业收入目前落后于国内其他AI公司,但其极低的推理成本(仅为GPT-5.5的约1%到11%)满足了大量实际商业场景对“勉强能用+足够便宜+足够稳定”的需求。当AI整体越贵,DeepSeek的性价比优势就越突出,其商业价值也由此体现。

marsbit8 小時前

DeepSeek永久降价,但梁文锋并不想做「赛博菩萨」

marsbit8 小時前

人人都在呼吁比特币价格走低:为何此刻是抛物线式上涨的绝佳时机

加密货币分析师Crypto Fergani指出,尽管市场普遍对比特币价格持悲观态度,并预测将进一步下跌,但他认为比特币即将进入抛物线式上涨阶段。他驳斥了熊市延续的观点,指出市场并无实质性利空消息,反而机构持续增持、全球采用加速等积极因素存在。他对比了2022年的周期,预测比特币将从当前约74,645美元水平飙升,目标看向128,000美元,涨幅超过72%,并带动山寨币平均上涨50至100倍。 另一方面,分析师Bee持谨慎看法,认为比特币自2025年10月峰值126,000美元后,每次反弹都遭遇卖压,呈现高点降低、低点下移的形态。他预警市场可能继续下行,直至过度杠杆被清除,最终底部可能在47,000至52,000美元区间形成,随后才会开启新的牛市周期。目前市场观点分化,一方期待即将到来的暴涨,另一方则警告深度回调的风险。

bitcoinist9 小時前

人人都在呼吁比特币价格走低:为何此刻是抛物线式上涨的绝佳时机

bitcoinist9 小時前

Mythos的面纱,成了Anthropic撬动万亿的杠杆

Anthropic公司即将以超9000亿美元估值完成巨额融资,其核心策略是通过构建“Mythos”模型的强大叙事来撬动资本与市场。Mythos被描述为“强到不能公开发布”的AI模型,与之相关的网络安全项目“Glasswing”虽公布了一些漏洞发现数据,但缺乏可验证的参照系,巧妙地将“不公开”包装为责任感和技术卓越的证明。 同时,美国政府的态度变化为叙事提供了关键背书。尽管曾将Anthropic列为供应链风险,但白宫及NSA等机构被曝寻求使用其高级模型(很可能是Mythos),这传递出该技术“不可替代”且通过最高标准审查的信号,极大地增强了其可信度与商业价值。 商业数据方面,Anthropic向投资者展示了惊人的收入增长,特别是Claude Code产品增长迅猛,推动公司整体年化收入预期超过500亿美元。谷歌持续巨额投资(承诺最高400亿美元)则提供了强大的资本背书,吸引了更多投资人跟进,共同推高估值。 本质上,Anthropic的成功在于其卓越的“讲故事”能力:它将一个无法被公众验证的技术能力(Mythos),结合政府机构的“隐性”认可、爆炸性的收入预期以及顶级投资者的真金白银,整合成一个强大且自洽的叙事。这个叙事说服了市场中最有影响力的参与者,从而将“不可验证的潜力”转化为实实在在的万亿级估值。

marsbit10 小時前

Mythos的面纱,成了Anthropic撬动万亿的杠杆

marsbit10 小時前

稳定币监管:FDIC宣布针对发行机构的新反洗钱拟议规则

美国联邦存款保险公司(FDIC)发布了一项拟议规则制定通知,计划将《银行保密法》(BSA)和经济制裁合规标准延伸至其监管的“许可支付稳定币发行商”(PPSI)。此举旨在将数字资产发行商进一步纳入长期监管传统银行的合规架构之中。 根据提案,PPSI必须遵守反洗钱/打击恐怖主义融资(AML/CFT)计划要求、经济制裁计划以及包括提交可疑活动报告在内的各项报告义务。PPSI将被正式归类为BSA下的“金融机构”,需建立完整的AML合规计划以及与外国资产控制办公室(OFAC)要求一致的制裁合规结构,包括内部控制、指定合规官、员工培训、独立测试和链上交易筛查等。 在监督执行方面,FDIC在针对PPSI的AML/CFT计划启动正式执法行动或做出重大监管决定前,需至少提前30天通知金融犯罪执法网络(FinCEN)主任。不过,FDIC表示,拥有有效AML/CFT计划的PPSI在大多数情况下可免于执法行动,除非其在实施必要计划方面出现“重大或系统性失误”。 该提案的公众评议期预计将持续至2026年6月9日,最终规则将于2026年晚些时候公布。FDIC估计,在法规生效后的头几年,可能有5至30家受其监管的PPSI寻求批准,其中多数将利用其母机构的现有AML基础设施,从而将新增合规成本保持在较低水平。

bitcoinist10 小時前

稳定币监管:FDIC宣布针对发行机构的新反洗钱拟议规则

bitcoinist10 小時前

交易

現貨
合約

熱門文章

什麼是 $WELL

WELL3, $$WELL:利用 DePIN 和 AI 變革健康和健身 簡介 在數字科技迅速發展的環境中,健康和健身行業站在創新的最前沿,努力改善病人護理並推廣更健康的生活方式。在這個領域中的一個突破性參與者是 WELL3,這是一個開創性的 Web3 項目,旨在徹底改變個人與健康的互動方式。通過利用去中心化的實體基礎設施網絡(DePIN)、去中心化身份(DID)和人工智能(AI)等技術,WELL3 努力促進安全、數據驅動的健康旅程。這篇全面的文章深入探討 WELL3 和 $$WELL 的核心方面,探索其功能、創建者、投資者和獨特特點。 WELL3, $$WELL 是什麼? WELL3 是一個創新的平台,旨在重新定義對健康和健身的看法。專注於整合 DePIN、DID 和 AI 系統,該項目旨在創建個性化的用戶體驗,同時確保個人健康數據的安全和隱私。擁有超過一百萬名預註冊用戶的驚人數字,WELL3 的主要使命是通過安全、數據驅動的健康旅程增強福祉。 WELL3 的核心使用先進的區塊鏈技術,以確保用戶擁有對其個人信息的完全控制。該項目不僅應對了數據安全和可訪問性的挑戰,還希望建立一個因共同致力於更好健康而聯繫在一起的活躍社區。 WELL3 的主要特點: DePIN 和 DID:這些技術使數據的安全擁有和認證成為可能,讓用戶對其信息擁有完全控制。 AI 整合:利用 AI 數據分析,WELL3 提供根據個人健康需求量身定制的見解和解決方案。 社區參與:促進一個支持的環境,使用戶可以互相連接、分享經驗,並互相激勵以追求更健康的生活。 WELL3, $$WELL 的創建者 WELL3 的創建者身份在現有的信息中仍未明確。隨著項目的進展,可能會出現更多細節,揭示出這一變革性倡議背後的遠見卓識。 WELL3, $$WELL 的投資者 WELL3 獲得了來自多個影響力投資機構的支持,展示了其在健康和健身領域的可信度和潛力。值得注意的投資者包括: Animoca Brands AWS Samsung The Spartan Group Blocore Fenbushi Capital Newman Group Soul Capital XY Finance Lumoz 這些知名組織的支持展示了對 WELL3 使命的強烈信念,為其創新和擴大服務提供了必要的資源。 WELL3, $$WELL 如何運作? WELL3 通過在多鏈框架中融合尖端技術,確保無縫和創新的用戶體驗。以下是一些將 WELL3 獨特定位於健身市場的因素: 1. 安全的數據擁有權 通過整合 DePIN 和 DID,用戶可以完全控制其個人健康信息。這種安全層在當今數字時代極為重要,因為數據洩露和未授權訪問隨處可見。通過 WELL3,數據擁有權是去中心化的,使用戶能夠主動管理其信息。 2. 通過 AI 個性化 WELL3 實施了基於 AI 的分析,為用戶提供量身定制的健康見解。通過利用 AI 的力量,該平台可以提供個性化的建議和解決方案,鼓勵用戶更有效地實現他們的健康目標。 3. 多鏈框架 WELL3 項目設計為跨多個區塊鏈平台運作,包括比特幣、以太坊、Polygon、Solana、Blast 和 TON。這種多鏈能力確保用戶能夠無縫地在不同網絡之間互動,提升可訪問性和可用性。 4. WELL 代幣 WELL3 生態系統的核心是 WELL 代幣,該代幣具有多種功能,包括實用性、治理和獎勵。該代幣允許參與生態系統,支持健康數據共享,並根據用戶與平台的互動進行獎勵。 WELL3, $$WELL 的時間表 WELL3 的發展過程中展示了重要的里程碑事件,每個事件都為項目的整體成功做出了貢獻。以下是 WELL3 歷史中關鍵事件的簡要時間表: 2024年2月10日:WELL3 推出了其 NFT 項目,迅速崛起為 opBNB 鏈上最大的 NFT 收藏,擁有超過 324,000 名擁有者,並在 2024 年 4 月 27 日前創建超過 800 萬個 NFT。 公開銷售:該項目在短短七天內達到約 15,237.2 ETH 的總鎖定價值(TVL),顯示出強勁的市場興趣和支持。 WELL ID 推出:平台吸引了超過 900,000 名用戶註冊 WELL ID 及其相應的 NFT Ring 白名單,標誌著生態系統內的重要採用階段。 夥伴關係發展:WELL3 與包括 Animoca Brands、AWS、Samsung 等領先實體建立了夥伴關係,以增強其生態系統並擴大其影響範圍。 交易量:WELL3 已促成超過 1700 萬美元的交易,反映其在健康和健身社區中的日益實用性和參與度。 有關 WELL3, $$WELL 的要點 作為一個向健身市場推進的進步倡議,WELL3 確定了幾個至關重要的元素,將促進其持續成功。以下是一些重要的重點: 代幣經濟學 $$WELL 代幣的最大供應為420 億,其中71%專門用於社區倡議。這一分配策略強調了該項目對其用戶基礎和長期可持續性的承諾。 鎖倉期 為確保生態系統的穩定,代幣將在24 個月的鎖倉期內分批釋放,以促進用戶之間的信任和信心。 生態系統發展 WELL3 的願景延伸至創建一個全面和可持續的生態系統,以鼓勵繁榮的社區參與、增強健康的行為和解決滿足健身領域迫切需求的數字解決方案。 市場適應性 健康產業的價值為5.6 萬億美元,為 WELL3 提供了盈利的機會。該項目預計每年增長率為5-10%,到位於健康意識生活上升趨勢之中。 可穿戴設備 推出的 WELL3 Ring 是一種加密激勵可穿戴設備,符合對個性化健康數據日益增長的需求。該設備不僅提升了用戶體驗,還重新定義了在 Web3 背景下與個人健康互動的意義。 結論 WELL3 代表了在健康和健身行業中整合區塊鏈技術的重大進展。通過解決關於數據擁有權、個性化和社區參與的關鍵問題,這個創新平台為增強個人福祉提供了前瞻性的解決方案。憑藉著來自知名投資者的強力支持和對開創性技術的承諾,WELL3 準備在健身領域產生持久影響。對於那些希望在數字時代擺脫健康複雜性的人來說,WELL3 無疑是值得關注的一個,因為它將持續進化和增長。

76 人學過發佈於 2024.07.14更新於 2024.12.03

什麼是 $WELL

如何購買WELL

歡迎來到HTX.com!在這裡,購買Moonwell Artemis (WELL)變得簡單而便捷。跟隨我們的逐步指南,放心開始您的加密貨幣之旅。第一步:創建您的HTX帳戶使用您的 Email、手機號碼在HTX註冊一個免費帳戶。體驗無憂的註冊過程並解鎖所有平台功能。立即註冊第二步:前往買幣頁面,選擇您的支付方式信用卡/金融卡購買:使用您的Visa或Mastercard即時購買Moonwell Artemis (WELL)。餘額購買:使用您HTX帳戶餘額中的資金進行無縫交易。第三方購買:探索諸如Google Pay或Apple Pay等流行支付方式以增加便利性。C2C購買:在HTX平台上直接與其他用戶交易。HTX 場外交易 (OTC) 購買:為大量交易者提供個性化服務和競爭性匯率。第三步:存儲您的Moonwell Artemis (WELL)購買Moonwell Artemis (WELL)後,將其存儲在您的HTX帳戶中。您也可以透過區塊鏈轉帳將其發送到其他地址或者用於交易其他加密貨幣。第四步:交易Moonwell Artemis (WELL)在HTX的現貨市場輕鬆交易Moonwell Artemis (WELL)。前往您的帳戶,選擇交易對,執行交易,並即時監控。HTX為初學者和經驗豐富的交易者提供了友好的用戶體驗。

232 人學過發佈於 2024.12.13更新於 2025.03.21

如何購買WELL

相關討論

歡迎來到 HTX 社群。在這裡,您可以了解最新的平台發展動態並獲得專業的市場意見。 以下是用戶對 WELL (WELL)幣價的意見。

活动图片

熱門問答

熱門分類right-arrow

熱門標籤right-arrow