SlowMist披露Four.meme漏洞:攻击者绕过转账限制窃取流动性资金
2025年3月,区块链安全公司SlowMist(慢雾科技)在X平台发文披露了一起针对Four.meme项目的攻击事件。攻击者利用Four.meme智能合约中的一个功能漏洞,成功绕过了代币转账限制,恶意创建交易对并添加流动性,最终窃取了PancakeSwap流动性池中的资金。这一事件再次引发了市场对DeFi项目安全性的广泛关注。
根据SlowMist的分析,攻击者首先通过Four.meme的特定函数购买了少量代币,随后利用该函数将代币发送至尚未创建的PancakeSwap交易对地址。由于此操作不受合约中转账限制的约束,攻击者成功绕开了Four.meme在2024年4月推出的转账限制机制。完成代币发送后,攻击者随即创建了新的交易对,并向其中添加流动性。
值得注意的是,Four.meme为防止恶意交易,曾在2024年4月对代币设置了严格的转账限制,旨在阻止未经授权的资金流动。然而,攻击者利用该合约中未充分校验的漏洞,通过将代币发送至未创建的交易对地址,规避了这一限制。这一操作不仅使攻击者能够自由创建新的交易对,还使其有机会以不当价格添加流动性,最终成功窃取流动性池中的资产。
SlowMist指出,该攻击手法具有一定的复杂性,但本质上是利用了合约在交易对创建和流动性添加过程中的权限漏洞。由于DeFi协议高度依赖于智能合约的代码逻辑,一旦存在未被发现的漏洞,攻击者便可利用这些缺陷进行精准操作,从而实现非法获利。
此次事件暴露了去中心化交易平台在安全性方面的隐患,特别是在新兴代币项目发布过程中,合约逻辑若存在缺陷,容易成为黑客攻击的目标。SlowMist提醒开发团队,在设计智能合约时应对关键操作进行严格校验,特别是在涉及交易对创建、流动性添加等敏感环节,确保每个步骤均经过充分验证,避免类似漏洞的出现。
此外,该事件也对投资者敲响了警钟。尽管DeFi市场具备高收益的诱因,但同时也伴随着较高的技术风险和安全隐患。投资者在参与DeFi项目时,需关注项目的审计情况、智能合约安全性以及团队是否具备有效的应急响应能力。
目前,SlowMist已将此次攻击的详细报告提交给Four.meme团队,并建议其尽快修复相关漏洞,防止更多资金被窃取。未来,随着DeFi生态的持续扩展,如何提高智能合约的安全性、增强项目风险防控能力,将成为行业发展的关键挑战。此次事件也再次凸显了区块链安全审计的重要性,只有通过持续的安全监测与风险排查,才能有效保护用户资产免受恶意攻击。