Критическая уязвимость в контракте BSC вызывает потерю $100,000

CoconutWaterBoy · 2026-02-05T17:05:18+00:00

BlockSec Phalcon сообщил о сложной атаке на контракт в сети BSC, в результате которой было потеряно 100 000 долларов из-за уязвимости в механизме сжигания токенов. Эксплойт использовал двухфазную стратегию, манипулируя недостатками архитектуры для получения прибыли от искажений цен, что подчеркивает риски в дизайне смарт-контрактов.

CoconutWaterBoy

2026-02-05 17:05:18

Генерация тезисов в процессе

BlockSec Phalcon, платформа безопасности известной аудитории BlockSec, недавно сообщила в сети X о обнаружении сложной атаки на неизвестный контракт, развернутый в цепочке BSC. В результате злоумышленной операции было украдено примерно $100,000, что выявило фундаментальную уязвимость в механизме синхронизации протокола сжигания пар токенов.

Архитектура протокола: где находится уязвимость

Согласно анализу, опубликованному Odaily, корень проблемы кроется в дизайне системы сжигания ликвидности. Уязвимость заключается не просто в дефектном коде, а в архитектуре, позволяющей каскадные манипуляции. Протокол реализовал функцию синхронизации, которая, несмотря на намерение поддерживать баланс пар, в итоге стала слабым местом контракта.

Механизм был запрограммирован на автоматическое уничтожение значительных процентов токенов при выполнении операций обмена, с предположением, что это защитит фонд. Однако эта же особенность стала инструментом, который злоумышленник использовал в своих целях.

Реализация в два этапа: анатомия атаки

Эксплуататор использовал уязвимость посредством стратегии арбитража, выполненной в два последовательных действия. На первом этапе, во время начального обмена, он смог вывести 99.56% токенов PGNLZ из фонда ликвидности. Эта операция сама по себе должна была активировать механизмы безопасности, но архитектура позволила продолжить.

На втором этапе злоумышленник провел операцию продажи PGNLZ, которая автоматически активировала функцию transferFrom контракта. Эта функция, как было задумано, уничтожила 99.9% оставшихся токенов PGNLP и выполнила принудительную синхронизацию. Именно здесь уязвимость показала всю свою мощь: массовое сжигание PGNLP вызвало искусственный рост относительной цены токена, манипулируя метриками стоимости фонда.

Прибыль злоумышленника: эксплуатация манипулированных цен

Используя искажение цен, вызванное синхронизацией и сжиганием токенов, эксплуататор осуществил свой финальный ход. Манипулируя ценой в свою пользу, он смог практически полностью вывести оставшиеся USDT из фонда, завершив цепочку событий, приведшую к полной потере $100,000.

Последствия для экосистемы BSC

Этот инцидент подчеркивает повторяющийся паттерн уязвимостей в смарт-контрактах: сочетание, казалось бы, независимых механизмов может создавать непредвиденные векторы атак. Разработчикам, работающим в цепочке BSC и проектирующим протоколы с функциями сжигания, следует пересмотреть, как эти механизмы взаимодействуют с операциями синхронизации и переводами средств, внедряя дополнительные проверки, разрывающие цепочки эксплуатации.

TOKEN-7,67%

Посмотреть Оригинал

На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .