Four.meme 攻击事件深度解析 四大关键环节剖析与安全建议

零时科技安全团队分析指出，four.meme 平台上的 memecoin 项目遭遇黑客攻击，导致约 15,000 美元的损失。

Binance Academy 孵化的 memecoin 发射平台 Four.meme 遭遇了一起安全事件。其平台上的 Snowboard 项目（合约地址：0x4abfd9a204344bd81a276c075ef89412c9fd2f64）遭受攻击，损失金额约为 15,000 美元。攻击交易哈希为：0x2902f93a0e0e32893b6d5c907ee7bb5dabc459093efa6dbc6e6ba49f85c27f61。

平台机制及漏洞分析

Four.meme 是一个运行在 BNB Smart Chain 上的 memecoin 发射平台，其运作流程大致分为三个阶段：

创建阶段： 用户可以在平台上创建自己的 memecoin，并自定义名称、标志和描述等信息，同时支付**的手续费。平台合约负责创建并部署 ERC-20 合约，同时铸造初始**。值得注意的是，合约的所有权归属于 Four.meme 平台合约，而非 memecoin 创建者，以防止恶意行为。

交易阶段： 用户可以在平台上买卖 memecoin。为了防止场**易对价格的影响，平台合约限制了**的直接转账功能。在交易发生时，平台合约会临时解除转账限制，完成交易后再重新启用限制。

迁移阶段： 当 memecoin 市值达到 24 BNB 时，平台合约会将剩余**和 BNB 转移至 PancakeSwap 等去**化交易所 (DEX)。

攻击手法

攻击者利用了 Four.meme 在将 memecoin 迁移至 DEX 时的漏洞。攻击者提前在 PancakeSwap 上创建了一个与 Snowboard 相同的交易对，并将 sqrtPriceX96 参数设置为异常高的数值（比正常值高出 368058418256012 倍）。

当 Four.meme 合约调用 createAndInitializePoolIfNecessary 函数创建交易对时，由于该交易对已存在，合约便使用攻击者预设的异常价格添加了流动性。这导致 Snowboard 的价格被人为操纵**高水平。攻击者随后利用少量 Snowboard **兑换了池子中的大部分 BNB，从而完成攻击。

安全建议

此次攻击**了 Four.meme 合约在处理 DEX 交易对创建逻辑上的缺陷。建议项目方在设计经济模型和合约代码时进行更严格的测试和审计，并考虑多种异常情况，避免类似漏洞的出现。多轮审计，特别是多家审计公司交叉审计，对于保障平台安全至关重要。

此外，开发者应加强对智能合约的安全性审查，确保代码逻辑无懈可击。同时，用户也应提高风险意识，在参与 memecoin 项目时谨慎评估潜在风险。