Four.Meme安全事件分析 如何保障BNB Chain生態(tài)安全?
2月11日,BNBChain最火的memecoin發(fā)射平臺Four.Meme遭到攻擊,損失約18萬美元。此前,由于Four.Meme的教程視頻以及視頻中用于演示的Tokens$TST的爆火,F(xiàn)our.Meme吸引了BNBChain的眾多用戶,BNBChain有關memecoin的交易愈加活躍。
近期已發(fā)生多起針對Memecoin發(fā)射平臺的攻擊,本次安全事件雖然損失金額相對較小,但再次敲響了安全的警鐘。作為BNBChain的安全合作伙伴,Beosin此前已完成PancakeSwap等生態(tài)項目的審計,本文將為大家詳細分析此次Four.Meme安全事件,幫助用戶和開發(fā)者了解BNBChain的生態(tài)安全形勢。
Four.Meme安全事件分析
業(yè)務邏輯介紹
Four.Meme是BNBChain上類似于Pump.fun的memecoin發(fā)射平臺。此類發(fā)射平臺的特點為:
1.為用戶提供創(chuàng)建memecoin的通用、可定制化的模版。用戶只需在平臺自定義Memecoin的名稱、logo、描述等信息。
2.在發(fā)射平臺發(fā)行memecoin時,Tokens并不會直接在DEX添加流動性池進行交易,而是首先需要用戶支付SOL/BNB等Tokens去鑄造(Mint)所發(fā)行的memecoin,鑄造過程中的Tokens價格由BondingCurve(聯(lián)合曲線)決定。
此前Beosin已對MemecoinLaunchpad的業(yè)務邏輯做了詳盡解析,更多內(nèi)容可閱讀《特朗普發(fā)幣引爆Solana生態(tài),其中Memecoin發(fā)射平臺面臨哪些安全挑戰(zhàn)?》,不在此贅述。
對于Four.Meme而言,當用戶在鑄造過程中不斷“購買”memecoin時,memecoin價格會根據(jù)其設計的聯(lián)合曲線升高,對應的市值也會增加。當用戶發(fā)行的memecoin市值到達24BNB時,F(xiàn)our.Meme平臺就會將剩下的memecoin和24BNB遷移到PancakeSwap(即創(chuàng)建memecoin-BNB的流動性池)公開交易。
而此次安全事件的漏洞就位于創(chuàng)建流動性池,項目方在創(chuàng)建流動性池這一過程中沒有考慮到流動性池被提前創(chuàng)建的情況。
攻擊流程
(1)攻擊者首先在Tokens未添加pancakeSwap流動性前在Four.meme合約中鑄造Tokens;
(2)然后在PancakeV3Pool中提前創(chuàng)建Tokens和WBNB的交易對池子,并設置異常高的Tokens價格;
以上述攻擊交易為例,攻擊者僅用1603枚snowboardTokens便兌換了23個BNB,將流動性池子中BNB的流動性幾乎全部取走。
據(jù)BeosinKYT分析,F(xiàn)our.Meme被盜取資金的流向如下圖所示:
Memecoin熱潮下的隱患
隨著CZ在社交媒體上關于BNBChain生態(tài)memecoin的呼吁和宣傳,BNBChain開始承接Solana的memecoin熱度,交易量和用戶活躍度大幅提升。作為BNBChain團隊進行視頻教學的測試Tokens$TST上線幣安,市值最高達5億美元。
2月14日北京時間凌晨,CZ公布其寵物狗名字為Broccoli,引發(fā)了BNBChain的memecoin大戰(zhàn),鏈上出現(xiàn)了無數(shù)個以Broccoli命名的memecoin。需要注意的是,CZ重申不會發(fā)行memecoin,這些名為Broccoli的memecoin僅是蹭CZ熱度,Tokens價格波動劇烈。
據(jù)BeosinAlert監(jiān)測,到目前為止,有關Broccolimemecoin的RugPull事件已達6起。以下是其中一起RugPull事件,Tokens發(fā)行人移除流動性后導致Tokens價格暴跌99.94%,獲利約10萬美元:
某個BroccoliTokens的RugPull
為避免資產(chǎn)損失,用戶在交易memecoin時至少需要了解以下4點:
1.MemecoinLaunchpad的平臺風險
2.同名Memecoin的仿盤/貔貅盤風險
3.Memecoin是否可增發(fā)
4.Memecoin交易是否存在手續(xù)費