最近發現了一個值得警惕的模式。透過異常數據對比，懷疑這是一類"首次鑄造攻擊"的變種。

先看數據現象：投入0.001 BNB買入後獲得1000枚代幣（折合$0.3），但撤出時居然拿到1500萬枚代幣（價值$450）。1500倍的收益差，這已經遠超任何正常的滑點或數學誤差範圍，背後肯定有東西。

最可能的攻擊手法是直接調用mint函數。有些質量較差的代幣合約在設計時根本沒做權限檢查，任何人都能直接調用鑄造函數：

function mint(address to, uint amount) public {
_mint(to, amount);
}

這樣的話，攻擊者只需先買一點代幣（留下地址記錄），然後直接調用mint給自己造幣，最後用這些憑空出現的代幣去添加或移除流動性，整個過程看起來跟普通操作沒啥區別。

還有一種可能是轉帳稅的漏洞。有些代幣設定了很高的轉帳稅（比如20%），表面上看A轉B 100個代幣，B收到80個，20個銷毀。但要是攻擊者成為了流動性提供者之後，池子轉帳給他可能因為稅收計算的bug產生額外代幣。

另外還得防著餘額同步攻擊。攻擊者在添加流動性後，可能在其他地方偷偷增加自己的代幣餘額，然後移除流動性時就能套出更多價值。

這些都是透過扭曲合約本身的邏輯來作惡，防的關鍵還是看代幣合約的審計品質和權限控制有沒有做到位。