BSC合约中的严重漏洞导致损失$100,000

BlockSec Phalcon，著名审计公司BlockSec的安全平台，最近在X网络上报告发现一起针对部署在BSC链上的未知合约的复杂攻击。此次恶意操作导致约$100,000的资金被盗，暴露出代币对销毁协议同步机制的根本性漏洞。

协议架构：漏洞所在

根据Odaily分享的分析，问题的根源在于流动性销毁系统的设计。漏洞不仅仅在于代码缺陷，而在于允许级联操控的架构。该协议实现了一个同步功能，虽然旨在保持对等池的平衡，但最终成为合约的薄弱环节。

该机制在进行交换操作时会自动销毁大量代币，认为此举可以保护资金。然而，这一特性反而成为攻击者利用的工具。

两阶段执行：攻击的全貌

攻击者利用这一漏洞，通过连续两次操作的套利策略实现了攻击。在第一阶段，在一次初始交换中，成功从流动性池中提取了99.56%的PGNLZ代币。此操作本应触发安全机制，但架构允许其继续。

在第二阶段，攻击者进行了PGNLZ的卖出操作，自动激活了合约的transferFrom函数。该函数按设计，销毁了剩余的99.9%的PGNLP代币，并执行了强制同步。这里，漏洞展现出其全部威力：大规模销毁PGNLP导致代币价格被人为抬高，操控了资金的价值指标。

攻击者的收益：操控价格获利

利用同步和销毁代币引发的价格扭曲，攻击者完成了最后的操作。借助被操控的价格，几乎全部提取了剩余的USDT，最终导致总损失达$100,000。

对BSC生态的影响

此事件凸显了智能合约漏洞的一个反复出现的模式：看似独立的机制结合在一起，可能形成未预料的攻击路径。在BSC链上开发协议、设计销毁功能的开发者，应重新审视这些机制如何与同步操作和资金转移交互，增加验证措施，打破潜在的攻击链。

BlockSec Phalcon，著名审计公司BlockSec的安全平台，最近在X网络上报告发现一起针对部署在BSC链上的未知合约的复杂攻击。此次恶意操作导致约$100,000的资金被盗，暴露出代币对销毁协议同步机制的根本性漏洞。

协议架构：漏洞所在

根据Odaily分享的分析，问题的根源在于流动性销毁系统的设计。漏洞不仅仅在于代码缺陷，而在于允许级联操控的架构。该协议实现了一个同步功能，虽然旨在保持对等池的平衡，但最终成为合约的薄弱环节。

该机制在进行交换操作时会自动销毁大量代币，认为此举可以保护资金。然而，这一特性反而成为攻击者利用的工具。

两阶段执行：攻击的全貌

攻击者利用这一漏洞，通过连续两次操作的套利策略实现了攻击。在第一阶段，在一次初始交换中，成功从流动性池中提取了99.56%的PGNLZ代币。此操作本应触发安全机制，但架构允许其继续。

在第二阶段，攻击者进行了PGNLZ的卖出操作，自动激活了合约的transferFrom函数。该函数按设计，销毁了剩余的99.9%的PGNLP代币，并执行了强制同步。这里，漏洞展现出其全部威力：大规模销毁PGNLP导致代币价格被人为抬高，操控了资金的价值指标。

攻击者的收益：操控价格获利

利用同步和销毁代币引发的价格扭曲，攻击者完成了最后的操作。借助被操控的价格，几乎全部提取了剩余的USDT，最终导致总损失达$100,000。

对BSC生态的影响

此事件凸显了智能合约漏洞的一个反复出现的模式：看似独立的机制结合在一起，可能形成未预料的攻击路径。在BSC链上开发协议、设计销毁功能的开发者，应重新审视这些机制如何与同步操作和资金转移交互，增加验证措施，打破潜在的攻击链。