Hacker khai thác lỗ hổng burn pair trên BSC, đánh cắp 100.000 USD

Một hợp đồng chưa xác định trên BSC bị khai thác do lỗi cơ chế burn pair, khiến thanh khoản bị rút và thiệt hại khoảng 100.000 USD.

Giám sát on-chain cho thấy kẻ tấn công thực hiện 2 giao dịch đảo chiều để lợi dụng cơ chế đốt, kết hợp thao túng giá nhằm rút phần lớn USDT khỏi pool thanh khoản.

Diễn biến vụ khai thác trên BSC

Hacker dùng lỗi burn pair để thực hiện 2 reverse transactions, rút token và thao túng giá, gây thiệt hại khoảng 100.000 USD.

Theo dữ liệu giám sát, hợp đồng chưa xác định trên BSC bị khai thác. Điểm yếu nằm ở cơ chế burn pair, cho phép kẻ tấn công sắp xếp chuỗi giao dịch theo hướng đảo chiều để tạo điều kiện rút thanh khoản và hưởng lợi từ biến động giá trong pool.

Quy trình được mô tả gồm: kẻ tấn công rút PGNLZ trước, sau đó kích hoạt việc đốt PGNLP và thao túng giá. Kết quả là phần lớn USDT trong pool thanh khoản bị đánh cắp, với tổng thiệt hại ước tính khoảng 100.000 USD.

Tài sản bị ảnh hưởng và tác động

Tài sản bị nhắm đến là USDT trong pool; PGNLZ và PGNLP được sử dụng trong chuỗi tấn công để tạo điều kiện rút tiền.

Diễn biến cho thấy kẻ tấn công không chỉ rút một token, mà còn kết hợp cơ chế đốt (burning) và điều chỉnh giá để tối đa hóa lượng USDT có thể chiếm đoạt. Việc rút PGNLZ và đốt PGNLP được nêu như các bước then chốt trước khi USDT bị rút khỏi pool.