Дизайн-пробел протокола в цепочке BSC вызывает потери в сотни тысяч долларов

Платформа аналитики безопасности BlockSec Phalcon недавно выявила важное инцидент на цепочке BSC, нанесящий ущерб контракту unknown на сумму $100,000. Этот инцидент выявил серьезные уязвимости в механизме сжигания токенов, который был недостаточно проработан.

Механизм атаки: двухэтапная эксплуатация на цепочке BSC

Злоумышленник использовал пошаговую стратегию для вывода средств из пула. На первом этапе ему удалось вывести 99.56% от общего количества токенов PGNLZ, хранящихся в пуле ликвидности, во время начальной обменной транзакции. Этот шаг подготовил почву для следующего, более сложного этапа.

На втором этапе, когда злоумышленник перепродавал токены PGNLZ, функция transferFrom в контракте автоматически инициировала уничтожение 99.9% токенов PGNLP, принадлежащих протоколу. Это масштабное уничтожение сопровождалось операцией синхронизации, которая вызвала резкий скачок цены PGNLP. Такое состояние создало идеальные условия для злоумышленника, чтобы вывести почти всю ликвидность USDT из пула, воспользовавшись искажением цены.

Корень проблемы: дефект в дизайне механизма сжигания

По мнению аналитиков Odaily, основной причиной этого атаки является фундаментальный недостаток в способе проектирования протокола механизма сжигания пар токенов. Эта система была разработана без учета сценариев, при которых злоумышленник может манипулировать соотношением цен через постепенное извлечение ликвидности.

Последствия для безопасности экосистемы цепочки

Этот инцидент показывает, что не все контракты на цепочке BSC проходят строгий аудит безопасности перед запуском. Протоколы, использующие автоматические механизмы сжигания, должны провести всесторонний анализ потенциальных векторов атак, связанных с манипуляциями цен и ликвидностью. Разработчикам на цепочке BSC рекомендуется проводить более комплексное стресс-тестирование перед активацией критических функций, таких как системы сжигания токенов.