连续6年不跑路的安全速度最适合国人VPN
零時科技安全團隊分析:four.meme 平臺 memecoin 遭攻擊,損失約 15,000 美元
Binance Academy 孵化的 memecoin 發射平臺 Four.meme 遭遇安全事件,其平臺上的 memecoin 項目 Snowboard (合約地址:0x4abfd9a204344bd81a276c075ef89412c9fd2f64) 遭受攻擊,損失約 15,000 美元。攻擊交易哈希:0x2902f93a0e0e32893b6d5c907ee7bb5dabc459093efa6dbc6e6ba49f85c27f61。
平臺機制及漏洞分析
Four.meme 類似於 Pump.Fun,是一個運行在 BNB Smart Chain 上的 memecoin 發射平臺,其運作流程大致分爲三個階段:
- 創建階段: 用戶在平臺上創建 memecoin,自定義名稱、logo、描述等信息,並支付手續費。平臺合約負責創建並部署 ERC-20 合約,並鑄造初始代幣。值得注意的是,合約所有權歸屬於 Four.meme 平臺合約,而非 memecoin 創建者,以此防止惡意行爲。
- 交易階段: 用戶可在平臺上買賣 memecoin。爲避免場外交易影響價格,平臺合約限制了代幣的直接轉賬功能。交易發生時,平臺合約臨時解除轉賬限制,完成交易後再重新啓用限制。
- 遷移階段: 當 memecoin 市值達到 24 BNB 時,平臺合約將剩餘代幣和 BNB 轉移至 PancakeSwap 等去中心化交易所 (DEX)。
攻擊手法
攻擊者利用了 Four.meme 在將 memecoin 遷移至 DEX 時的漏洞。攻擊者預先在 PancakeSwap 上創建並初始化了一個與 Snowboard 相同的交易對,但將 sqrtPriceX96 參數設置爲一個異常高的數值 (比正常值高出 368058418256012 倍)。
當 Four.meme 合約調用 createAndInitializePoolIfNecessary 函數創建交易對時,由於該交易對已存在,合約便使用攻擊者預設的異常價格添加了流動性。這導致 Snowboard 價格被人爲操縱至極高水平。攻擊者隨後利用少量 Snowboard 代幣兌換了池子中的大部分 BNB,從而完成攻擊。
安全建議
此次攻擊暴露了 Four.meme 合約在處理 DEX 交易對創建邏輯上的缺陷。建議項目方在設計經濟模型和合約代碼時進行更嚴格的測試和審計,並考慮多種異常情況,避免類似漏洞的出現。 多輪審計,特別是多家審計公司交叉審計,對於保障平臺安全至關重要。
以上就是Four.meme 攻擊事件分析的詳細內容,更多請關注本站其它相關文章!
