Four.Meme安全事件分析 如何保障BNB Chain生态安全？

2月11日，BNBChain最火的memecoin发射平台Four.Meme遭到攻击，损失约18万美元。此前，由于Four.Meme的教程视频以及视频中用于演示的Tokens$TST的爆火，Four.Meme吸引了BNBChain的众多用户，BNBChain有关memecoin的交易愈加活跃。

近期已发生多起针对Memecoin发射平台的攻击，本次安全事件虽然损失金额相对较小，但再次敲响了安全的警钟。作为BNBChain的安全合作伙伴，Beosin此前已完成PancakeSwap等生态项目的审计，本文将为大家详细分析此次Four.Meme安全事件，帮助用户和开发者了解BNBChain的生态安全形势。

Four.Meme安全事件分析

业务逻辑介绍

Four.Meme是BNBChain上类似于Pump.fun的memecoin发射平台。此类发射平台的特点为：

1.为用户提供创建memecoin的通用、可定制化的模版。用户只需在平台自定义Memecoin的名称、logo、描述等信息。

2.在发射平台发行memecoin时，Tokens并不会直接在DEX添加流动性池进行交易，而是首先需要用户支付SOL/BNB等Tokens去铸造（Mint）所发行的memecoin，铸造过程中的Tokens价格由BondingCurve（联合曲线）决定。

此前Beosin已对MemecoinLaunchpad的业务逻辑做了详尽解析，更多内容可阅读《特朗普发币引爆Solana生态，其中Memecoin发射平台面临哪些安全挑战？》，不在此赘述。

对于Four.Meme而言，当用户在铸造过程中不断“购买”memecoin时，memecoin价格会根据其设计的联合曲线升高，对应的市值也会增加。当用户发行的memecoin市值到达24BNB时，Four.Meme平台就会将剩下的memecoin和24BNB迁移到PancakeSwap（即创建memecoin-BNB的流动性池）公开交易。

而此次安全事件的漏洞就位于创建流动性池，项目方在创建流动性池这一过程中没有考虑到流动性池被提前创建的情况。

攻击流程

(1)攻击者首先在Tokens未添加pancakeSwap流动性前在Four.meme合约中铸造Tokens；

(2)然后在PancakeV3Pool中提前创建Tokens和WBNB的交易对池子，并设置异常高的Tokens价格；

以上述攻击交易为例，攻击者仅用1603枚snowboardTokens便兑换了23个BNB，将流动性池子中BNB的流动性几乎全部取走。

据BeosinKYT分析，Four.Meme被盗取资金的流向如下图所示：

Memecoin热潮下的隐患

随着CZ在社交媒体上关于BNBChain生态memecoin的呼吁和宣传，BNBChain开始承接Solana的memecoin热度，交易量和用户活跃度大幅提升。作为BNBChain团队进行视频教学的测试Tokens$TST上线币安，市值最高达5亿美元。

2月14日北京时间凌晨，CZ公布其宠物狗名字为Broccoli，引发了BNBChain的memecoin大战，链上出现了无数个以Broccoli命名的memecoin。需要注意的是，CZ重申不会发行memecoin，这些名为Broccoli的memecoin仅是蹭CZ热度，Tokens价格波动剧烈。

据BeosinAlert监测，到目前为止，有关Broccolimemecoin的RugPull事件已达6起。以下是其中一起RugPull事件，Tokens发行人移除流动性后导致Tokens价格暴跌99.94%，获利约10万美元：

某个BroccoliTokens的RugPull

为避免资产损失，用户在交易memecoin时至少需要了解以下4点：

1.MemecoinLaunchpad的平台风险

2.同名Memecoin的仿盘/貔貅盘风险

3.Memecoin是否可增发

4.Memecoin交易是否存在手续费