BSC链上MSCST项目遭遇闪电贷攻击，损失约13万美元

查找币:余老师 | 行业资讯 | 2025-12-29 07:02 | 8 次浏览 | 0 条回复

查找币行业资讯行业资讯 Web3安全区块链

近期，在BSC链上发生了一起典型的闪电贷攻击案例，MSCST项目成为攻击目标。攻击者利用MSCST项目智能合约中`releaseReward()`函数存在访问控制漏洞，通过闪电贷借入大量资金来操纵PancakeSwap上GPC代币的价格，最终获利约13万美元。 ## 攻击细节分析攻击手法并非新鲜，历史文章可追溯到2021年，攻击脉络已相对清晰。闪电贷作为中立金融工具，并非罪魁祸首，但它显著降低了市场操纵资本门槛，进一步放大了智能合约中的漏洞。攻击模式高度相似，绝大多数都发生在BSC链及其生态DEX（如PancakeSwap）上。攻击者利用闪电贷快速获取资本，操纵流动性较差的资金池中的代币价格，然后利用项目合约中存在的经济逻辑漏洞进行套利。攻击剧本从早期的Spartan、Bogged Finance，到最近的Merlin、BurgerSwap，再到目前的MSCST，如出一辙。这表明许多后续项目在开发中未吸取历史教训，重复着相同的安全错误。 ## 系统性风险与安全建议 DeFi乐高式的组合性带来系统性风险，底层协议微小的价格波动可能被上层协议的缺陷放大。开发者应注重对各种市场条件下经济模型的压力测试和安全审计，避免基础性漏洞的再次出现。访问控制缺失问题的屡次发生也揭示了项目在安全审查环节存在缺失。对于从业者而言，这系列事件是持续的警示。智能合约的安全审计应是持续过程，特别关注涉及资金和价格计算的核心函数。项目需避免单一市场价格作为计算的唯一输入，应采用时间加权平均价格（TWAP）或其他抗操纵的预言机方案。开发者需深刻理解所“Fork”的原始协议逻辑和潜在风险，而非简单复制代码。尽管安全技术与意识不断提升，但只要创新激励大于安全激励，只要市场对高收益项目狂热追逐，缺乏基础安全措施导致的攻击事件仍将发生。这是技术问题，更是经济与人性问题。本文由查找币安全团队整理发布

BSC链上MSCST项目遭遇闪电贷攻击，损失约13万美元

查找币 - 专业Web3安全服务