币安区块链上发现大规模加密货币盗窃案，窃贼通过偷偷摸摸的交易策略窃取了近 25 万美元

部署在 $BNB 智能链（BSC）上的一种名为 ATM 的相对默默无闻的代币成为智能合约漏洞的最新受害者。攻击者通过利用代币的 TransferFrom() 函数中的非标准逻辑，损失了大约 243,500 美元。

安全监控平台 TenArmor 于 2026 年 6 月 4 日标记了该事件。这些警报强调了自定义代币机制（通常是为了费用、流动性供应或奖励而添加的）在没有得到适当保护的情况下如何造成严重的可利用弱点。

#CertiKInsight

我们发现 ATM 令牌被利用的金额约为 24.3 万美元。 TransferFrom() 包含将 ATM 转账金额的 20% 兑换为 BSC-USD 的逻辑，因此攻击者可以在转账后重复兑换多余的金额。https://t.co/mf6uhujZgK

保持警惕！ pic.twitter.com/hwN1B3Xt0m

— CertiK 警报 (@CertiKAlert) 2026 年 6 月 4 日

根据CertiK的分析，核心问题在于代币合约的transferFrom()实现。该功能不是执行标准的代币转账，而是通过去中心化交易路由器自动触发将 ATM 转账金额的 20% 兑换成 BSC-USD（或等价物）。

这种隐藏的行为使得攻击者能够重复发起转账，从而获取远远超过正常批准所允许的价值。主要攻击交易哈希为：0x37b90a…dcfd86

合约地址：0x4fd087…d5a205

区块链安全警报在早期阶段就发现了可疑活动。攻击者的地址 0x7e7C1f…CdBAFE 自 2025 年以来一直与之前的代币合约漏洞相关联。该攻击并不依赖于闪贷或重入，而是利用了自定义转账逻辑的意外经济副作用。

这一最新事件加剧了 $BNB 链上令人担忧的攻击浪潮。就在几天前，TesseraDAO 遭受了一次重大攻击，攻击者铸造了约 9900 万个 TSR 代币，并将其抛售，并消耗了约 250 万美元的 USDT。事件发生后，TSR 代币暴跌近 99%。

有关 ATM 项目的公开信息仍然非常少。没有广泛使用的官方网站、白皮书或详细路线图。该项目似乎并不是一个主要的 DeFi 协议，并且有关其预期用例、团队背景或利用之前锁定的总价值 (TVL) 的详细信息没有详细记录。

截至2026年6月5日，ATM项目团队尚未就该事件、合约是否暂停、流动性状况或任何恢复工作发表任何官方公开声明。

此类漏洞并不是孤立的。 2026 年 5 月下旬，攻击者利用 DxSale 上的遗留流动性储物柜，通过操纵解锁时间戳和提取 LP 代币，从 1,400 多个资金池中窃取了约 730 万美元。这表明，即使是之前周期中较旧的“锁定”流动性也可能面临风险。

这一事件是与 ERC-20 类合约中的自定义转让税或自动互换机制相关的危险的典型例子。虽然这些功能可以用于合法目的，但它们显着增加了复杂性和攻击面。

区块链安全专家始终警告，将transferFrom() 与外部调用（例如DEX 路由器）相结合，需要严格的审计、形式验证和广泛的边缘案例测试。

在与智能合约交互之前，务必彻底验证它们。

定期撤销代币批准，特别是对于未知或低市值代币。

更喜欢具有多次独立审计和透明安全实践的项目。

尽管按照 2026 年的标准来看，这是一个中等规模的漏洞，但此类事件继续削弱人们对更广泛的 DeFi 生态系统的信心。由于仓促的部署和安全措施不足，BNB 智能链等链上的小型代币仍然是常见的目标。

强烈建议用户在处理新的或低可见度的代币时要格外小心。