ZachXBT 揭露：BSC 项目 GANA Payment 遭受 310 万美元攻击

GANA Payment 漏洞事件概述

区块链安全研究员 ZachXBT 披露了一起重大安全事件，影响了在 BNB Smart Chain（BSC）上运行的加密货币项目 GANA Payment。本次漏洞造成损失超过 310 万美元，再次引发了区块链安全领域的高度关注。

此次攻击展现了加密货币领域黑客采用的高明手法。攻击者得手后，将大部分被盗资产通过 Tornado Cash（一款在 BSC 与以太坊网络均可用的隐私协议）进行洗钱。目前，约 100 万美元等值资产仍停留在以太坊区块链上，尚未被攻击者进一步转移。

根据 ZachXBT 在 Telegram 频道披露的细节，攻击者将被盗资产有序汇集至地址 0x2e8****5c38，并将 1,140 枚 BNB 代币（约 104 万美元）存入 BSC 网络上的 Tornado Cash。这是黑客常用的加密货币洗钱操作，用于掩盖资产流向。

攻击者进一步将部分资金跨链至以太坊网络，通过 Tornado Cash 隐私混币服务转移 346.8 枚 ETH（约 105 万美元）。不过，区块链分析显示，目前有 346 枚 ETH 仍静置于地址 0x7a503****b3cca，显示攻击者可能在等待更安全的转移时机以规避追踪。

本次事件凸显区块链项目在保障安全方面面临的长期挑战。攻击者利用 Tornado Cash 等隐私工具，将其合法功能用于非法资金洗白，进一步加大了资金追查和执法难度。

技术分析：合约所有权被操控

区块链安全公司 HashDit 在发现链上异常后，第一时间对本次安全事件展开分析。调查很快锁定了核心漏洞——GANA 合约所有权结构遭到未授权操作。

本次漏洞的根源在于攻击者恶意篡改了 GANA 智能合约的所有权参数。通过对关键管理权限的未授权掌控，黑客获取了协议质押机制的最高操作权。这一权限的提升，使攻击者可操控奖励分配逻辑，从根本上削弱了质押系统的安全性。

在技术执行上，攻击者首先利用所有权漏洞获取合约控制权，随后多次调用解除质押函数，每次都可获得远超系统设定的 GANA 代币。通过篡改奖励计算机制，黑客实现了“超发”或非法提取代币，远超正常用户的应得数量。

掌握大量代币后，攻击者在去中心化交易所集中抛售，通过大量售出被盗 GANA 代币，将项目代币兑换为 BNB、ETH 等流动性更强的主流加密资产。这一过程为后续洗钱环节提供了资金流动性和转移便利。

最后，攻击者通过 Tornado Cash 隐私协议对兑换所得资金进行混币处理，从而断开了链上地址之间的直接追踪路径，极大提升了追查难度。

HashDit 发布紧急安全预警，要求用户立即停止与 GANA 代币相关的所有交易，直到开发团队发布官方方案并完成必要的安全修复。安全团队强调，继续与受损合约交互可能导致用户面临更高风险。

该漏洞事件进一步记录在 BSC 安全事件档案中，尽管整体安全指标有提升。根据 BNB Chain 与安全公司 Hacken 的联合调查，2023 年全网总损失为 1.61 亿美元，而 2024 年已降至 4,700 万美元，降幅高达 70%。尽管安全措施不断强化，GANA 等个别攻击事件依然对网络防御能力构成考验。

此前 BSC 生态的安全事件也为当前风险形势提供了参考。例如，2023 年 9 月，Venus Protocol 用户因误授权恶意交易，遭遇网络钓鱼攻击，损失 1,350 万美元。值得注意的是，Venus Protocol 核心智能合约未受影响，损失主要归因于用户层面的社交工程攻击。

此外，迷因币平台 Four.Meme 在市场剧烈波动期间遭遇 18.3 万美元安全漏洞。此次攻击疑似采用“三明治攻击”手法，致使约 125 枚 BNB 损失，事发时正值平台 Test 代币交易异常波动。

恢复计划公布，团队启动调查

GANA 开发团队在安全事件发生后迅速作出响应，发布公告承认其交互合约基础设施受到外部攻击。声明确认，攻击者通过合约漏洞成功获取并转移了用户资产。

在应对措施中，团队已委托拥有区块链取证与智能合约安全经验的独立第三方安全公司，开展全方位应急调查，涵盖攻击路径溯源、具体漏洞环节定位，以及对用户和协议基础设施受影响范围的全面评估。

恢复计划包括多项关键内容。项目方将启动系统全面重构，对所有用户资产地址及权限等级进行详细梳理，确保恢复运营前系统已无残留隐患。

GANA 团队就安全事件向受影响用户正式致歉，对造成的不便和经济损失表达歉意，并承诺全程保持信息透明，后续将在官方渠道公布详细恢复方案、赔偿机制与实施时间表。

值得注意的是，本次漏洞发生时，整个加密货币行业的安全事件处于低位。根据区块链安全公司 PeckShield 数据，最近一个统计周期仅有 1,818 万美元资产因 15 起事件被盗，较上月 1.2706 亿美元损失下降 85.7%。

不过，安全专家指出，尽管整体数据趋于乐观，攻击者手法仍不断升级，其速度甚至超过协议自身的安全强化步伐。GANA 漏洞事件展现出的复杂性，正是链上攻防“军备竞赛”的缩影。

GANA 漏洞与 Balancer Protocol 近期更大规模的攻击事件几乎同期发生。Balancer 在多个区块链网络损失超 1.28 亿美元，攻击者通过复杂的智能合约操作，利用 Balancer V2 组合稳定池存在的授权及回调处理漏洞，在极短时间内转移大量资产，并以类似 GANA 案例的方式通过 Tornado Cash 洗钱。

虽然流动性质押协议 StakeWise 通过紧急合约调用追回 1,930 万美元 osETH，令 Balancer 总净损失缩减至约 9,800 万美元，但事件已对市场造成严重冲击。Balancer 的总锁仓量（TVL）在一天内从 4.42 亿美元骤降至 2.1452 亿美元，足见安全漏洞对 DeFi 协议 市场信心的巨大影响。

这一系列事件共同表明，区块链项目在去中心化金融生态中必须高度重视安全审计、持续监控和高效事件响应能力。

常见问题

GANA Payment 项目 310 万美元漏洞是如何被利用的？

该漏洞利用了 GANA Payment 在 BSC 上的智能合约安全缺陷，攻击者通过重入攻击和未授权代币转移，窃取资金，造成 310 万美元损失。

该 BSC 项目的安全漏洞对用户资金有何影响？

310 万美元漏洞直接导致 GANA Payment 用户资金被盗，受影响用户遭受即时资产损失。漏洞让攻击者得以抽干流动性池和用户余额。团队已第一时间进行钱包安全检查，并通过链上分析持续跟踪资金回收。

如何识别和评估 DeFi 项目的智能合约安全风险？

应查阅权威安全公司的合约审计报告，分析 GitHub 上的代码质量，查看漏洞赏金计划，核查开发团队资历，回顾合约部署历史，评估流动性深度，并关注社区反馈中潜在风险信号。

GANA Payment 项目团队如何应对此次安全事件？

GANA Payment 项目团队第一时间启动事件响应，暂停受影响智能合约，委托安全审计公司调查 310 万美元漏洞。团队与用户保持信息透明，并推进恢复和安全加固措施，以防止后续风险。

投资者如何防范类似区块链项目的风险？

投资者应委托专业安全公司进行合约审计，分散投资于多个项目，定期关注项目安全动态，核查团队背景与履历，使用硬件钱包存储资产，并优先参与治理透明、漏洞赏金机制完善的项目。

BSC 生态中哪些项目因智能合约漏洞发生过安全事件？

BSC 生态曾发生多起安全事件，包括 PancakeSwap（闪电贷攻击）、Binance Bridge（跨链漏洞）、SafeMoon（Rug Pull 风险）等项目，以及其他因 智能合约漏洞 遭受攻击，造成重大资金损失的案例。