欧易OKX

欧易数字货币交易所，更快、更好、更强！

官网注册

Four.meme 平台 Memecoin 遭攻击，损失约 15,000 美元

Binance Academy 孵化的 memecoin 发射平台 Four.meme 近日遭遇安全事件，其平台上的 memecoin 项目 Snowboard (合约地址：0x4abfd9a204344bd81a276c075ef89412c9fd2f64) 遭到攻击，损失约 15,000 美元。攻击交易哈希：0x2902f93a0e0e32893b6d5c907ee7bb5dabc459093efa6dbc6e6ba49f85c27f61。

这次事件再次提醒我们，即使是看似简单的 memecoin 项目，也可能隐藏着巨大的安全风险。让我们来深入分析这次攻击事件。

平台机制与漏洞

Four.meme 平台的运作模式与 Pump.Fun 类似，它是一个运行在 BNB 智能链上的 memecoin 发射平台，整个过程大致分为三个阶段：

创建阶段：

用户在平台上创建 memecoin，自定义名称、logo 和描述等信息，并支付手续费。平台合约负责创建并部署 ERC-20 合约，并铸造初始代币。值得注意的是，合约所有权归属于 Four.meme 平台合约，而非 memecoin 创建者，旨在防止恶意行为。 这层设计本意良好，但显然并未完全杜绝风险。

交易阶段：

用户可在平台上买卖 memecoin。为了避免场外交易影响价格，平台合约限制了代币的直接转账功能。交易发生时，平台合约临时解除转账限制，完成交易后再重新启用限制。这个机制的设计初衷是维护市场秩序，但其安全性有待商榷。

迁移阶段：

当 memecoin 市值达到一定标准时，平台合约将剩余代币和 BNB 转移至 PancakeSwap 等去中心化交易所 (DEX)。正是这个阶段出现了安全漏洞，导致了这次攻击事件。

攻击手法详解

攻击者利用了 Four.meme 在将 memecoin 迁移至 DEX 时的漏洞。他们预先在 PancakeSwap 上创建并初始化了一个与 Snowboard 相同的交易对，但将 sqrtPriceX96 参数设置为一个异常高的数值，远高于正常值。这就好比在交易市场上提前埋下了一个“炸弹”。

当 Four.meme 合约调用 createAndInitializePoolIfNecessary 函数创建交易对时，由于该交易对已存在，合约便使用了攻击者预设的异常价格添加了流动性。这导致 Snowboard 价格被操纵至极高水平。攻击者随后利用少量 Snowboard 代币兑换了池子中的大部分 BNB，从而完成了攻击。 这就像利用一个错误的价格信息，以极低的成本获得了大量的资金。

安全建议

此次攻击暴露出 Four.meme 合约在处理 DEX 交易对创建逻辑上的缺陷。 这也提醒我们，合约安全审计的重要性。建议所有类似平台在设计经济模型和合约代码时进行更严格的测试和审计，并考虑各种异常情况，避免类似漏洞的出现。 多轮审计，特别是多家审计公司交叉审计，对于保障平台安全至关重要。 安全不应仅仅停留在表面，更要深入到代码的每一个细节。