2026-01-04 21:20:37

Sebuah pola yang harus diwaspadai baru-baru ini telah ditemukan. Melalui perbandingan data anomali, diduga ini adalah varian dari "serangan pencetakan pertama kali".

Mari kita lihat fenomena data terlebih dahulu: setelah menginvestasikan 0,001 BNB untuk membeli, Anda mendapatkan 1.000 token (setara dengan $0,3), tetapi ketika Anda menarik, Anda benar-benar mendapatkan 15 juta token (senilai $450). Spread pengembalian 1500x, yang jauh melampaui slippage normal atau margin kesalahan matematis, pasti ada sesuatu di baliknya.

Serangan yang paling mungkin adalah memanggil fungsi mint secara langsung. Beberapa kontrak token berkualitas buruk dirancang tanpa pemeriksaan izin sama sekali, dan siapa pun dapat memanggil fungsi pencetakan secara langsung:

fungsi mint(alamat ke, jumlah uint) publik {
_mint(kepada, jumlah);
}

Dalam hal ini, penyerang hanya perlu membeli beberapa token (tinggalkan catatan alamat), lalu langsung memanggil mint untuk mencetak koin untuk dirinya sendiri, dan akhirnya menggunakan token ini yang muncul begitu saja untuk menambah atau menghilangkan likuiditas, dan seluruh proses tampaknya tidak berbeda dengan operasi biasa.

Ada juga kemungkinan celah dalam pajak transfer. Beberapa token memiliki pajak transfer yang tinggi (misalnya 20%), seolah-olah token A hingga B 100, B menerima 80, dan 20 pembakaran. Namun, jika penyerang menjadi penyedia likuiditas, transfer pool kepadanya dapat menghasilkan token tambahan karena bug dalam perhitungan pajak.

Selain itu, Anda harus waspada terhadap serangan sinkronisasi keseimbangan. Setelah menambahkan likuiditas, penyerang dapat diam-diam meningkatkan saldo token mereka di tempat lain dan kemudian mengekstrak lebih banyak nilai saat likuiditas dihapus.

Kunci untuk mencegahnya adalah mendistorsi logika kontrak itu sendiri, dan kunci untuk pencegahan adalah melihat apakah kualitas audit dan kontrol otoritas kontrak token sudah ada.

BNB1,46%

Lihat Asli

Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.

7 Suka

Hadiah
7
6
Posting ulang
Bagikan

Komentar

0/400

GhostChainLoyalist

· 5jam yang lalu

Ini lagi-lagi trik yang sama, fungsi mint tanpa pemeriksaan izin benar-benar gila... Seharusnya sudah diaudit sejak lama

Lihat AsliBalas0

BlockImposter

· 01-04 21:48

1500x? Gila, data ini tidak masuk akal, pasti ada celah mint atau bug pajak yang sedang berbuat onar ---- Sekali lagi kontrak buruk karena pemeriksaan izin yang tidak dilakukan dengan baik, sudah saatnya para pengembang ini belajar coding di chain ---- Strategi ini terlalu kejam, langsung mencetak koin lalu menarik likuiditas, orang biasa sama sekali tidak bisa melihatnya ---- Ada begitu banyak lubang pajak transfer? Rasanya sebagian besar tim proyek sama sekali tidak memikirkan hal ini ---- Jelas saja, audit sangat penting, sayangnya sebagian besar koin baru langsung di-ape begitu saja ---- Saya tidak pernah memikirkan serangan sinkronisasi saldo dari sudut pandang ini, makanya selalu ada orang yang entah dari mana mendapatkan uang besar secara aneh ---- Kode kontrak seperti ini disetting public? Apakah benar-benar ada orang yang berani menulis seperti ini atau saya yang terlalu awam ---- Ingat strategi ini, lain kali saat melihat proyek, cek dulu kontrol izin sebelum ikut ---- Sial, jadi kemungkinan yang langsung naik 10x begitu saja setelah diluncurkan semuanya sudah diretas? Atau saya yang terlalu bodoh dan tidak bisa melihatnya

Lihat AsliBalas0

FalseProfitProphet

· 01-04 21:47

Aduh lagi-lagi celah fungsi mint, pola ini sudah sering saya lihat, jadi ciri khas pasar yang gagal Selisih harga 1500 kali lipat? Langsung saja mint untuk mencetak koin, audit kontrak pun bisa diabaikan

Lihat AsliBalas0

WagmiWarrior

· 01-04 21:45

哎呦，1500倍？Ini harus kontrak seburuk apa sehingga bisa seperti ini, pemeriksaan izin semuanya cuma formalitas --- fungsi mint dipanggil secara publik, ini benar-benar luar biasa, benar-benar di luar nalar --- Jadi, audit kontrak untuk koin kecil semuanya cuma formalitas, seharusnya sudah dicabut sejak lama --- Bug pajak transfer yang saya dengar pertama kali, detail ini harus dibuat oleh pengembang yang benar-benar gila --- Kontrak dengan begitu banyak celah, penambangan likuiditas benar-benar hanya perjudian, siapa bilang keuntungan stabil saya cuma tertawa --- Tak heran akhir-akhir ini banyak laporan tentang shitcoin, ternyata semua memakai trik ini --- Kontrol izin yang tidak dilakukan dengan baik, lalu berani meluncurkan, pengembang ini serius apa? --- 15 juta koin muncul begitu saja, ini kan mesin cetak uang, sangat ironis --- Jadi, koin baru tetap harus lihat laporan auditnya, kalau tidak, benar-benar main api --- Gabungan serangan antara bug pajak transfer dan kontrol izin, ini pasti akan merugikan banyak investor kecil dan retail

Lihat AsliBalas0

MEVHunterNoLoss

· 01-04 21:37

Gila 1500 kali lipat? Betapa buruknya kontrak ini, bahkan pemeriksaan izin saja tidak dilakukan?

Lihat AsliBalas0

RunWhenCut

· 01-04 21:22

Cheng, set ini lagi? Mint tidak memiliki wewenang untuk memeriksa, itu benar-benar menakjubkan, pada pandangan pertama, ini adalah kontrak sampah yang dibuat secara acak oleh seorang pria India --- 1500 kali? Saudaraku, ini bukan celah, ini merampok uang secara terbuka --- Pajak transfer bahkan lebih keterlaluan, dan begitu bug kolam renang keluar, itu langsung berubah menjadi mesin cetak uang, dan rasanya seperti ada trik baru setiap minggu --- Audit? Review P, sebagian besar pihak proyek enggan mengeluarkan uang sama sekali, oke? --- Itu sebabnya saya hanya membeli token yang telah ditinjau lebih dari dua kali sekarang, dan saya tidak akan menyentuh yang lain tidak peduli seberapa tinggi APY-nya

Lihat AsliBalas0