В конце января 2026 года в сети BNB Smart Chain были зафиксированы два независимых, но технически сходных инцидента. В обоих случаях злоумышленники не взламывали приватные ключи, не использовали reentrancy и не эксплуатировали ошибки флэш-кредитов напрямую. Вместо этого атака строилась вокруг логики самих токенов, способных изменять резервы AMM-пулов через принудительное сжигание токенов из LP и вызов sync().
Итог — искажение баланса пулов PancakeSwap и извлечение реальной ликвидности (USDT / BSC-USD) без эквивалентного рыночного обмена.
Ниже — разбор двух кейсов.
О проведении крипторасследования
AML-офицеры КоинКит проводят расследования атак на смарт-контракты, DeFi-протоколы и токенсейлы, включая анализ логики контрактов, восстановление последовательности транзакций и отслеживание дальнейшего движения похищенных активов вплоть до конечных точек сокрытия.
Начните свое крипторасследование вместе с КоинКит по ссылке
Кейс 1. PGNLZ/USDT — ~$100 тыс. через burn + sync()
Дата: 27 января 2026
Сеть: BNB Smart Chain
Тип: экономический эксплойт / манипуляция резервами AMM
TX: 0xc7270212846136f3d103d1802a30cdaa6f8f280c4bce02240e99806101e08121
Что произошло
В логике токена PGNLZ реализован механизм, позволяющий сжигать токены не только с баланса пользователя, но и непосредственно с адреса AMM-пары PancakeSwap. После такого сжигания контракт инициирует pair.sync(), что заставляет пул пересчитать резервы.
Ключевая проблема:
USDT из пула никуда не выводится, но количество PGNLZ в резерве уменьшается. Это ломает инвариант AMM и искусственно завышает цену PGNLZ.
Как была реализована атака
Атака была выполнена в одной транзакции и начиналась с привлечения крупной заёмной ликвидности:
- злоумышленник получил 1,059.64 BTCB во флэш-займ от Lista DAO: Moolah;
- завёл BTCB в Venus как обеспечение и занял 30 млн BSC-USD
Далее атакующий направил 23.3 млн BSC-USD в пул PGNLZ/BSC-USD на PancakeSwap V2, подготовив пул к манипуляции.
Главный этап — искажение резервов:
из адреса LP-пары на burn-адрес 0x…dEaD было отправлено почти 982 тыс. PGNLZ, после чего пул был принудительно синхронизирован. В результате количество PGNLZ в резерве резко сократилось, а цена токена в пуле выросла без реального притока USDT.
После этого атакующий внёс в пул ничтожное количество PGNLZ (≈ 14.8 токена) и вывел 23.44 млн BSC-USD по искажённому курсу.
Фиксация прибыли и вывод
После возврата займов:
- Venus получил обратно 30 млн BSC-USD,
- флэш-займ BTCB был погашен.
Чистая прибыль составила ≈ 100,901 BSC-USD, которые были выведены на адрес:
0xFE95ECc0795399662221AB48948CDcF3f6D4AA86
Далее средства были разбиты на 14 транзакций и отправлены в FixedFloat, что указывает на намерение дальнейшего сокрытия происхождения средств.
Кейс 2. XPL/USDT (XPlayer) — ~$719 тыс. через ту же механику
Дата: 28 января 2026
Сеть: BNB Smart Chain
Тип: экономический эксплойт / манипуляция резервами AMM
TX: 0x9779341b2b80ba679c83423c93ecfc2ebcec82f9f94c02624f83d8a647ee2e49
Что произошло
В токене XPL обнаружена аналогичная по эффекту логика: контракт допускает сжигание XPL прямо с адреса AMM-пары, после чего резервы пула пересчитываются. Это создаёт окно для продажи XPL по искусственно завышенной цене и вывода USDT из пула.
Как проходила атака
Злоумышленник начал с агрессивного наращивания ликвидности:
- флэш-займы от Lista DAO: Moolah — BTCB, WBNB и USDT;
- дополнительно привлёк 61 млн USDT через Venus (vUSDT);
- заложил WBNB в Venus для расширения кредитного лимита.
Далее атакующий завёл в пул XPL/USDT более 217 млн USDT, выкупив крупный объём XPL. Токены были распределены между контрактом атакующего и вспомогательным адресом.
Ключевой момент атаки — сжигание XPL из резерва пула:
из адреса AMM-пары на burn-адрес ушло 3,078 XPL, после чего цена XPL в пуле резко выросла.
После этого атакующий продал XPL обратно в пул и вывел ≈ 964,588 BSC-USD, погасил все займы и зафиксировал чистую прибыль.
Куда ушли средства
Финальный профит в размере 718,844.117109 BSC-USD был выведен на адрес:
0x9dF9A1D108EE9c667070514b9A238B724a86094F
На момент анализа средства оставались на этом адресе.
Что объединяет оба инцидента
Оба кейса — это не баги PancakeSwap, а следствие опасных архитектурных решений на стороне токенов:
- логика токена допускает изменение резервов пула без обмена;
- burn() применяется к адресу LP-пары;
- sync() используется как инструмент принудительного перерасчёта резервов;
- AMM считает резервы корректными, хотя экономическая целостность пула нарушена.
Флэш-займы и Venus здесь — инструменты масштабирования атаки, а не первопричина.
Итог
Эксплойты PGNLZ и XPL показывают системный риск токенов с кастомной burn-логикой, не учитывающей AMM-инварианты. Любая возможность менять баланс пары вне стандартного swap() автоматически превращается в точку извлечения ликвидности.
Для DeFi-проектов это прямое напоминание:
если токен может сжигать активы из LP — он может и опустошить пул.
Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.
