2026-01-04 21:20:37

Недавно была обнаружена закономерность, на которую стоит обращать осторожность. В ходе сравнения аномальных данных предполагается, что это вариант «атаки при первом чеканке».

Давайте сначала рассмотрим феномен данных: после инвестирования 0,001 BNB в покупку вы получаете 1 000 токенов (эквивалент $0,3), но при выводе — на самом деле получаете 15 миллионов токенов (стоимостью $450). Спред доходности 1500x, который значительно превышает любой нормальный скольжение или математическую ошибку, должно быть что-то за ним.

Наиболее вероятная атака — вызвать функцию mint напрямую. Некоторые контракты на токены низкого качества разрабатываются без проверки разрешений, и любой может напрямую вызвать функцию ченя:

Функциональный монетный двор(адрес, сумма UINT) Публичный {
_mint(к, сумма);
}

В этом случае злоумышленнику достаточно купить несколько токенов (оставить запись адреса), затем напрямую позвонить в Mint, чтобы чеканить монеты для себя, и в итоге использовать эти токены, появляющиеся из ниоткуда для добавления или удаления ликвидности, и весь процесс кажется ничем не отличающимся от обычных операций.

Также существует возможная лазейка в трансфертном налоге. Некоторые токены имеют высокий налог на перевод (например, 20%), якобы токены от A до B 100, B получает 80 и 20 сжиганий. Однако если злоумышленник становится поставщиком ликвидности, перевод пула к нему может генерировать дополнительные токены из-за ошибки в налоговых расчетах.

Кроме того, нужно остерегаться атак синхронизации баланса. После добавления ликвидности злоумышленники могут тайно увеличить свой баланс токена в другом месте, а затем извлечь больше стоимости при удалении ликвидности.

Ключ к их предотвращению — искажать логику самого контракта, а ключ к предотвращению — проверить, насколько реализованы аудит и контроль полномочий контракта на токен.

BNB0,07%

Посмотреть Оригинал

На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .

7 Лайков

Награда
7
6
Репост
Поделиться

комментарий

0/400

GhostChainLoyalist

· 6ч назад

Опять эти же уловки, отсутствие проверки прав в функции mint действительно безумие... Уже давно нужно было провести аудит

Посмотреть ОригиналОтветить0

BlockImposter

· 01-04 21:48

1500 раз? Чёрт, эти данные просто возмутительны, а правильная уязвимость Mint — либо налоговая ошибка, играющая с обманом ---- Это плохой контракт, который плохо справился с проверкой разрешений, и этих разработчиков следовало попросить работать в цепочке для изучения программирования ---- Эта рутина слишком беспощадна — напрямую чеканить монеты и затем распределять ликвидность, обычные люди этого вообще не видят ---- Так много дыр в трансфертном налоге? Мне кажется, что большинство проектных участников никогда не задумывались об этой щетине ---- Говоря прямо, аудиты слишком важны, но, к сожалению, большинство новых монет напрямую имитируются ---- Я не задумывался о углу синхронной атаки баланса, неудивительно, что всегда есть люди, которые необъяснимо зарабатывают много денег ---- Код контракта просто такой? Кто-нибудь действительно осмеливается писать так, или я просто невежественна? ---- Запомните эти процедуры и проверьте контроль разрешений перед тем, как снова садиться в автобус при просмотре проекта ---- Чёрт, значит, те, кто поднялся в 10 раз после запуска, могли быть взломаны? Или я этого не видел

Посмотреть ОригиналОтветить0

FalseProfitProphet

· 01-04 21:47

Ай-яй, снова уязвимость функции mint, я видел такие схемы слишком много раз, это стандартный сценарий для закатанных проектов Разница в 1500 раз? Просто вызови mint для создания монет, аудит контракта можно и пропустить

Посмотреть ОригиналОтветить0

WagmiWarrior

· 01-04 21:45

Ай, 1500 раз? Насколько плохим может быть контракт — проверка разрешений — это всё украшение --- Функция мяты открыто называется, что действительно абсолютно, это возмутительно --- Таким образом, аудит контрактов малых валют — это формализм и должен был быть давно отменён --- Это первый раз, когда я слышу о баге с налогом на трансферт, и потребовалось много безумной разработки, чтобы это понять --- В контракте так много лазеек, ликвидный майнинг — это настоящий азартный риск, и я смеюсь над теми, кто говорит о стабильной доходности --- Неудивительно, что в последнее время на shitcoin появилось столько откровений, что все они используют этот набор трюков --- Осмеливаешься запускать без разрешения контроля — это серьёзно? --- 15 миллионов появились из ниоткуда, разве это не машина для печати денег, слишком иронично. --- Так что новая валюта всё равно должна смотреть на аудиторский отчёт, иначе это действительно играет с огнём --- Сочетание трансфертного налога и лазейок в полномочиях — сколько мелких розничных инвесторов придётся убивать

Посмотреть ОригиналОтветить0

MEVHunterNoLoss

· 01-04 21:37

Черт возьми, 1500-кратный рост? Насколько же это плохой контракт, что ли, даже проверку прав не делают?

Посмотреть ОригиналОтветить0

RunWhenCut

· 01-04 21:22

Чэн, опять этот набор? У Mint нет полномочий проверять, это действительно удивительно, на первый взгляд это мусорный контракт, случайно созданный индийцем --- 1500 раз? Брат, это не лазейка, это открытое ограбление денег --- Налог на перевод становится ещё более возмутительным, и как только появляется баг с пулом, он сразу превращается в машину для печати денег, и кажется, что каждую неделю появляются новые трюки --- Аудит? Обзор P, большинство проектных вечеринок неохотно тратят деньги, ладно? --- Вот почему я покупал только токены, которые были проверены больше двух раз, и не трогаю остальные, независимо от высокой ставки

Посмотреть ОригиналОтветить0