资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
BNB智能链上代币ATM因合约漏洞遭攻击
部署在BNB智能链上的相对冷门代币ATM成为智能合约漏洞的最新受害者。攻击者通过利用该代币transferFrom()函数中的非标准逻辑,窃取了约24.35万美元资金。
安全警报与漏洞分析
安全监控平台TenArmor于2026年6月4日标记了该事件。警报强调,为收取费用、提供流动性或奖励而添加的自定义代币机制,若未妥善保护可能造成严重可被利用的漏洞。
CertiK的分析指出,核心问题在于代币合约的transferFrom()实现方式。该函数未执行标准代币转账,而是自动触发将20%的转账ATM数量通过去中心化交易所路由兑换为BSC-USD(或等值资产)。
攻击手法与关联活动
这种隐藏机制使得攻击者能重复发起转账,提取的资金远超正常授权许可范围。主要攻击交易哈希为:0x37b90a…dcfd86。合约地址为:0x4fd087…d5a205。
区块链安全警报在早期检测到可疑活动。攻击者地址0x7e7C1f…CdBAFE自2025年以来曾涉及多起代币合约漏洞利用事件。本次攻击未使用闪电贷或重入漏洞,而是利用了自定义转账逻辑引发的非预期经济副作用。
BNB链安全形势
这是BNB链近期一系列漏洞攻击事件中的最新案例。数日前,TesseraDAO遭遇重大攻击,攻击者铸造约9900万枚TSR代币并抛售,套现约250万美元USDT,导致TSR代币价格暴跌近99%。
项目背景与行业警示
ATM项目的公开信息极为有限,未见广泛传播的官方网站、白皮书或详细路线图。该项目似乎并非主流DeFi协议,关于其用例、团队背景或攻击前锁仓总额的记载均不完整。
截至2026年6月5日,ATM项目团队未就事件发布任何官方声明,亦未说明合约是否暂停、流动性状况及任何恢复措施。
此类漏洞并非孤例。2026年5月下旬,攻击者通过操纵解锁时间戳提取流动性凭证,从DxSale的1400多个资金池中盗取约730万美元。这表明即使早期周期中"锁定"的流动性仍可能面临风险。
安全建议与行业影响
本次事件为类ERC-20合约中自定义转账税或自动兑换机制相关的风险提供了典型案例。虽然这类功能可能存在合理用途,但会显著增加复杂性和攻击面。
区块链安全专家持续警告,将transferFrom()与调用DEX路由器等外部操作结合时,需要进行严格审计、形式化验证及广泛边缘案例测试。
建议用户在与智能合约交互前进行全面验证,定期撤销代币授权(特别是对未知或低市值代币),并优先选择经过多重独立审计且安全实践透明的项目。
尽管以2026年标准衡量此次属于中型漏洞攻击,但此类事件持续削弱市场对DeFi生态的信心。由于部署仓促和安全措施不足,BNB智能链上的小型代币仍是高频攻击目标。
