2月11日���,BNBChain最火的memecoin發(fā)射平臺(tái)Four.Meme遭到攻擊,損失約18萬美元�。此前����,由于Four.Meme的教程視頻以及視頻中用于演示的Tokens$TST的爆火�����,F(xiàn)our.Meme吸引了BNBChain的眾多用戶,BNBChain有關(guān)memecoin的交易愈加活躍�。
近期已發(fā)生多起針對(duì)Memecoin發(fā)射平臺(tái)的攻擊���,本次安全事件雖然損失金額相對(duì)較小���,但再次敲響了安全的警鐘。作為BNBChain的安全合作伙伴,Beosin此前已完成PancakeSwap等生態(tài)項(xiàng)目的審計(jì)���,本文將為大家詳細(xì)分析此次Four.Meme安全事件����,幫助用戶和開發(fā)者了解BNBChain的生態(tài)安全形勢(shì)���。
Four.Meme安全事件分析
業(yè)務(wù)邏輯介紹
Four.Meme是BNBChain上類似于Pump.fun的memecoin發(fā)射平臺(tái)���。此類發(fā)射平臺(tái)的特點(diǎn)為:
1.為用戶提供創(chuàng)建memecoin的通用����、可定制化的模版���。用戶只需在平臺(tái)自定義Memecoin的名稱、logo��、描述等信息��。
2.在發(fā)射平臺(tái)發(fā)行memecoin時(shí)���,Tokens并不會(huì)直接在DEX添加流動(dòng)性池進(jìn)行交易,而是首先需要用戶支付SOL/BNB等Tokens去鑄造(Mint)所發(fā)行的memecoin�����,鑄造過程中的Tokens價(jià)格由BondingCurve(聯(lián)合曲線)決定����。
此前Beosin已對(duì)MemecoinLaunchpad的業(yè)務(wù)邏輯做了詳盡解析,更多內(nèi)容可閱讀《特朗普發(fā)幣引爆Solana生態(tài)�����,其中Memecoin發(fā)射平臺(tái)面臨哪些安全挑戰(zhàn)��?》����,不在此贅述。
對(duì)于Four.Meme而言����,當(dāng)用戶在鑄造過程中不斷“購(gòu)買”memecoin時(shí)�,memecoin價(jià)格會(huì)根據(jù)其設(shè)計(jì)的聯(lián)合曲線升高����,對(duì)應(yīng)的市值也會(huì)增加�����。當(dāng)用戶發(fā)行的memecoin市值到達(dá)24BNB時(shí)���,F(xiàn)our.Meme平臺(tái)就會(huì)將剩下的memecoin和24BNB遷移到PancakeSwap(即創(chuàng)建memecoin-BNB的流動(dòng)性池)公開交易�����。
而此次安全事件的漏洞就位于創(chuàng)建流動(dòng)性池�,項(xiàng)目方在創(chuàng)建流動(dòng)性池這一過程中沒有考慮到流動(dòng)性池被提前創(chuàng)建的情況��。
攻擊流程
(1)攻擊者首先在Tokens未添加pancakeSwap流動(dòng)性前在Four.meme合約中鑄造Tokens�����;
(2)然后在PancakeV3Pool中提前創(chuàng)建Tokens和WBNB的交易對(duì)池子,并設(shè)置異常高的Tokens價(jià)格�;
以上述攻擊交易為例��,攻擊者僅用1603枚snowboardTokens便兌換了23個(gè)BNB���,將流動(dòng)性池子中BNB的流動(dòng)性幾乎全部取走�。
據(jù)BeosinKYT分析�����,F(xiàn)our.Meme被盜取資金的流向如下圖所示:
Memecoin熱潮下的隱患
隨著CZ在社交媒體上關(guān)于BNBChain生態(tài)memecoin的呼吁和宣傳�,BNBChain開始承接Solana的memecoin熱度�����,交易量和用戶活躍度大幅提升��。作為BNBChain團(tuán)隊(duì)進(jìn)行視頻教學(xué)的測(cè)試Tokens$TST上線幣安,市值最高達(dá)5億美元����。
2月14日北京時(shí)間凌晨,CZ公布其寵物狗名字為Broccoli���,引發(fā)了BNBChain的memecoin大戰(zhàn)�����,鏈上出現(xiàn)了無數(shù)個(gè)以Broccoli命名的memecoin����。需要注意的是,CZ重申不會(huì)發(fā)行memecoin�����,這些名為Broccoli的memecoin僅是蹭CZ熱度�,Tokens價(jià)格波動(dòng)劇烈����。
據(jù)BeosinAlert監(jiān)測(cè),到目前為止�����,有關(guān)Broccolimemecoin的RugPull事件已達(dá)6起。以下是其中一起RugPull事件�����,Tokens發(fā)行人移除流動(dòng)性后導(dǎo)致Tokens價(jià)格暴跌99.94%���,獲利約10萬美元:
某個(gè)BroccoliTokens的RugPull
為避免資產(chǎn)損失���,用戶在交易memecoin時(shí)至少需要了解以下4點(diǎn):
1.MemecoinLaunchpad的平臺(tái)風(fēng)險(xiǎn)
2.同名Memecoin的仿盤/貔貅盤風(fēng)險(xiǎn)
3.Memecoin是否可增發(fā)
4.Memecoin交易是否存在手續(xù)費(fèi)
