Four.Meme Attack Event Analysis

Analyse de l'équipe de sécurité technologique à temps zéro: Four.Meme Plateforme Memecoin a été attaqué et perdu environ 15 000 $ US

La plate-forme de lancement incubée de la Binance Academy Four.Meme a rencontré un incident de sécurité, et son Snowboard du projet Memecoin (adresse du contrat: 0x4abfd9a204344bd81a276c075ef89412c9fd2f64) a été attaqué et perdu environ 15 000 $. Hash de la transaction d'attaque: 0x2902f93a0e0e32893b6d5c907ee7bb5dabc459093efa6dbc6e6ba49f85c27f61.

Mécanisme de la plate-forme et analyse de vulnérabilité

Four.meme est similaire à Pump.fun.

1. Phase de création: Les utilisateurs créent Memecoin sur la plate-forme, personnalisez le nom, le logo, la description et d'autres informations et payer les frais de manutention. Le contrat de plate-forme est responsable de la création et du déploiement des contrats ERC-20 et des jetons initiaux de frappe. Il convient de noter que la propriété du contrat appartient au contrat de la plate-forme Four.Meme, pas au créateur de Memecoin, afin de prévenir les comportements malveillants.

2. Phase de trading: Les utilisateurs peuvent acheter et vendre Memecoin sur la plate-forme. Pour éviter les transactions en vente libre affectant les prix, les contrats de plate-forme limitent la fonction de transfert directe des jetons. Lorsqu'une transaction se produit, le contrat de la plate-forme soulève temporairement les restrictions de transfert, puis réoriense les restrictions après avoir terminé la transaction.

3. Phase de migration: Lorsque la valeur marchande de Memecoin atteint 24 BNB, le contrat de plate-forme transfère les jetons restants et le BNB vers des échanges décentralisés tels que Pancakeswap (DEX).

Méthode d'attaque

L'attaquant a exploité la vulnérabilité de Four.meme lors de la migration de Memecoin vers Dex. L'attaquant a créé et initialisé une paire sur Pancakeswap à l'avance sous forme de snowboard, mais a réglé le paramètre

sur une valeur exceptionnellement élevée (368058418256012 fois supérieur à la valeur normale). sqrtPriceX96

Lorsque le contrat Four.Meme appelle la fonction

pour créer une paire de trading, car la paire de trading existe déjà, le contrat ajoute de la liquidité en utilisant le prix d'exception prédéfini de l'attaquant. Cela a entraîné la manipulation artificiellement manipulée artificiellement à des niveaux extrêmement élevés. L'attaquant rachète ensuite la plupart des BNB dans la piscine à l'aide d'un petit nombre de jetons de snowboard pour terminer l'attaque. createAndInitializePoolIfNecessary

Conseils de sécurité

Cette attaque a exposé la logique du contrat Four.meme dans la gestion de la création de paires de transactions Dex. Il est recommandé que les parties du projet effectuent des tests et des audits plus rigoureux lors de la conception de modèles économiques et de codes de contrat, et envisagent une variété de situations anormales pour éviter la survenue de vulnérabilités similaires. Plusieurs cycles d'audits, en particulier les audits croisés de plusieurs sociétés d'audit, sont cruciaux pour assurer la sécurité de la plate-forme.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!