ZachXBT 揭露：BSC 項目 GANA Payment 遭駭客攻擊，損失達 310 萬美元

GANA Payment 漏洞事件概述

區塊鏈安全研究員 ZachXBT 披露了一起重大安全事件，影響在 BNB Smart Chain（BSC）運作的加密貨幣專案 GANA Payment。本次漏洞造成損失超過 310 萬美元，再度引發區塊鏈安全領域的高度關注。

此次攻擊展現出加密貨幣領域駭客採用的高級手法。攻擊者得手後，將大部分被盜資產經 Tornado Cash（一種同時支援 BSC 及以太坊網路的隱私協議）進行洗錢。目前，約 100 萬美元等值資產仍於以太坊區塊鏈上，尚未被攻擊者進一步轉移。

根據 ZachXBT 在 Telegram 頻道披露的細節，攻擊者將被盜資產有序匯集至地址 0x2e8****5c38，並將 1,140 枚 BNB 代幣（約 104 萬美元）存入 BSC 網路的 Tornado Cash。這是駭客常見的加密貨幣洗錢操作，用於掩蓋資產流向。

攻擊者進一步將部分資金跨鏈至以太坊網路，透過 Tornado Cash 隱私混幣服務轉移 346.8 枚 ETH（約 105 萬美元）。不過，區塊鏈分析顯示，目前有 346 枚 ETH 仍靜置於地址 0x7a503****b3cca，顯示攻擊者可能在等待更安全的轉移時機以規避追蹤。

本次事件凸顯區塊鏈專案在安全保障上面臨的長期挑戰。攻擊者利用 Tornado Cash 等隱私工具，將其合法用途轉為非法資金洗白，進一步加大資金追查與執法困難度。

技術分析：合約所有權被操控

區塊鏈安全公司 HashDit 發現鏈上異常後，第一時間展開本次安全事件的分析。調查很快鎖定核心漏洞——GANA 合約所有權結構遭到未授權操作。

這次漏洞的根本原因在於攻擊者惡意竄改了 GANA 智能合約的所有權參數。透過對關鍵管理權限的未授權掌控，駭客取得協議質押機制的最高操作權。這項權限提升，讓攻擊者得以操控獎勵分配邏輯，根本削弱質押系統的安全性。

技術執行上，攻擊者首先利用所有權漏洞取得合約控制權，隨後多次呼叫解除質押函數，每次都能取得遠超系統設定的 GANA 代幣。透過竄改獎勵計算機制，駭客實現「超發」或非法提領代幣，數量遠高於正常用戶應得。

掌握大量代幣後，攻擊者在去中心化交易所集中拋售，透過大量賣出被盜 GANA 代幣，將專案代幣換成 BNB、ETH 等流動性更強的主流加密資產。這個過程為後續洗錢提供了資金流動性與轉移便利。

最後，攻擊者透過 Tornado Cash 隱私協議對換得資金進行混幣處理，藉此切斷鏈上地址間的直接追蹤路徑，極大提升追查難度。

HashDit 發布緊急安全預警，要求用戶立刻停止與 GANA 代幣相關的所有交易，直到開發團隊公布官方方案並完成必要安全修復。安全團隊強調，繼續與受損合約互動可能導致用戶風險上升。

本次漏洞事件進一步記錄於 BSC 安全事件檔案中，儘管整體安全指標有所提升。根據 BNB Chain 與安全公司 Hacken 的聯合調查，2023 年全網總損失為 1.61 億美元，2024 年已降至 4,700 萬美元，降幅高達 70%。雖然安全措施不斷加強，GANA 等個案攻擊事件仍對網路防禦能力構成挑戰。

先前 BSC 生態的安全事件對當前風險態勢也具參考價值。例如，2023 年 9 月，Venus Protocol 用戶因誤授權惡意交易，遭遇網路釣魚攻擊，損失 1,350 萬美元。值得注意的是，Venus Protocol 核心智能合約未受影響，損失主因來自用戶層面的社交工程攻擊。

另外，迷因幣平台 Four.Meme 在市場劇烈波動期間遭遇 18.3 萬美元安全漏洞。這次攻擊疑似採用「三明治攻擊」手法，導致約 125 枚 BNB 損失，發生時正逢平台 Test 代幣交易劇烈波動。

恢復計畫公布，團隊啟動調查

GANA 開發團隊於安全事件發生後迅速回應，發布公告承認其互動合約基礎設施遭受外部攻擊。聲明確認攻擊者經由合約漏洞成功取得並轉移用戶資產。

應對措施方面，團隊已委託具備區塊鏈取證與智能合約安全經驗的獨立第三方安全公司展開全方位應急調查，涵蓋攻擊路徑溯源、具體漏洞環節定位，以及對用戶及協議基礎設施受影響程度的全面評估。

恢復計畫涵蓋多項關鍵內容。專案方將啟動系統全面重構，針對所有用戶資產地址與權限等級進行詳細梳理，確保恢復營運前系統無殘留隱患。

GANA 團隊針對安全事件正式向受影響用戶致歉，對造成的不便與經濟損失表達歉意，並承諾全程保持資訊透明，未來將於官方管道公布詳細恢復方案、賠償機制及實施時程。

值得注意的是，本次漏洞發生時，整體加密貨幣產業的安全事件數處於低點。根據區塊鏈安全公司 PeckShield 資料，最近一個統計週期僅有 1,818 萬美元資產因 15 起事件被盜，較上月 1.2706 億美元損失下降 85.7%。

然而，安全專家指出，儘管整體數據趨於樂觀，攻擊者手法仍在不斷升級，速度甚至快於協議自身安全強化。GANA 漏洞事件所展現的複雜性，正是鏈上攻防「軍備競賽」的縮影。

GANA 漏洞與 Balancer Protocol 最近規模更大的攻擊事件幾乎同期發生。Balancer 在多條區塊鏈網路損失超過 1.28 億美元，攻擊者透過複雜的智能合約操作，利用 Balancer V2 組合穩定池的授權與回呼處理漏洞，在極短時間內轉移大量資產，並以類似 GANA 案例方式透過 Tornado Cash 洗錢。

雖然流動性質押協議 StakeWise 透過緊急合約呼叫追回 1,930 萬美元 osETH，讓 Balancer 總淨損失縮減至約 9,800 萬美元，但事件仍對市場造成嚴重衝擊。Balancer 的總鎖倉量（TVL）於一天內自 4.42 億美元驟降至 2.1452 億美元，顯示安全漏洞對 DeFi 協議 市場信心的重大影響。

這一系列事件共同顯示，區塊鏈專案在去中心化金融生態中必須高度重視安全稽核、持續監控及高效事件應變能力。

常見問題

GANA Payment 專案 310 萬美元漏洞是如何被利用的？

該漏洞利用了 GANA Payment 在 BSC 上的智能合約安全缺陷，攻擊者透過重入攻擊與未授權代幣轉移竊取資金，造成 310 萬美元損失。

該 BSC 專案的安全漏洞對用戶資金有何影響？

310 萬美元漏洞直接導致 GANA Payment 用戶資金被盜，受影響用戶立即面臨資產損失。漏洞讓攻擊者能抽乾流動性池與用戶餘額。團隊已於第一時間進行錢包安全檢查，並持續透過鏈上分析追蹤資金回收。

如何識別與評估 DeFi 專案的智能合約安全風險？

應查閱權威安全公司合約稽核報告，分析 GitHub 上的程式碼品質，參考漏洞獎金計畫，核查開發團隊資歷，回顧合約部署歷史，評估流動性深度，並留意社群回饋中的風險訊號。

GANA Payment 專案團隊如何應對本次安全事件？

GANA Payment 專案團隊第一時間啟動事件應變，暫停受影響智能合約，委託安全稽核公司調查 310 萬美元漏洞。團隊與用戶保持資訊透明，並推動恢復與安全加強措施，以防範後續風險。

投資者如何防範類似區塊鏈專案的風險？

投資者應委託專業安全公司進行合約稽核，分散投資於不同專案，定期關注專案安全動態，核查團隊背景與資歷，使用硬體錢包儲存資產，並優先參與治理透明、漏洞獎金機制完善的專案。

BSC 生態中哪些專案曾因智能合約漏洞發生安全事件？

BSC 生態曾發生多起安全事件，包括 PancakeSwap（閃電貸攻擊）、Binance Bridge（跨鏈漏洞）、SafeMoon（Rug Pull 風險）等專案，以及其他因 智能合約漏洞 遭受攻擊而造成重大資金損失的案例。