Banana Gun暴涨后因“合约漏洞”重启项目？智能合约审计为何如此重要

即使在熊市，Web3生态也会涌入几个“项目热潮”，你希望能够快速致富，却总是陷入另一种风险。

9月12日，万众期待的Telegram机器人Banana Gun的原生代币 BANANA 推出， 随后价格在推出后不到 3 小时内就从峰值 8.7 美元跌至 0.02 美元，跳水接近归零。

Banana Gun 的官方公告将其归咎于 代币合约中的一个团队无法修复的错误， 并指出“尽管经过了两次审核”。Banana Gun之后表示，正在审计新合约来处理本次错误。

为了应对漏洞危机，项目团队制定了两步缓解策略。首先，决定出售财务投资组合以耗尽冻结的现金，并打算将其重新用于新的合约。 其次，他们承诺尽快重新启动该项目，并提供空投以补偿受影响的参与者。

项目方因为合约漏洞决定重启项目，导致币价跳水。最后，受伤的依然是“冲”进去的用户们。同时，我们也看到智能合约的安全审计为什么这么重要。

什么是Banana Gun？为何热度这么高

Banana Gun 是一款基于 Telegram 的Trading Bot (交易机器人），官方介绍能够为用户及时狙击即将推出的代币，或安全地购买已经上线的代币。

在 Banana Gun 的交易设置里，分别有“手动交易”和“自动狙击”，相同的条件为防范Rug, MEV保护，5个钱包地址限额。手动交易操作的费率低一些 0.5%，自动狙击的费率则为 0.75%。

从六月份起开始有用户涌入；七月Bot用户数破百，再到破千；八月的用户高峰突破2000，截止目前9月初，日活在2500左右，占头部项目的用户总量的35%左右。

目前累计的交易量，Banana Gun已经超过 Unibot 交易量的一半。 可见即使在熊市中，被称为“degens”的热切参与者也会急切地寻找快速积累财富的机会。

Banana Gun合约漏洞是如何被发现的？

目前，一位匿名程序员声称使用 OpenAI 的ChatGPT来发现合约缺陷。他把代码复制到ChatGPT上，结果发现了漏洞。

Beosin安全团队将代币合约中有关税收部分的代码存在漏洞分享如下：

可以看到，在_transfer()中，Banana Gun团队错误地将 (senderBalance - amount) 的结果赋值给_balances[from]。senderBalance - amount的结果为余额加上fees（代币交易需扣除的税收），而_balances[from]为卖家。如此一来，卖家卖出代币后还可以得到卖币的税收，而 Banana Gun 金库也会增加税收，相当于 $BANANA 会一直处于通胀的状态。

最后，可以这样理解： 这个事件是项目方后知后觉发现合约有漏洞，因此决定先将原本漏洞合约的流动池耗尽，才导致币价几乎趋近于 0 。随后Banana Gun团队决定部署新的代币合约，并对持有者进行快照。对于亏损的持有者，他们后续也将出台相应的补偿方案。

合约审计为何这么重要？用户如何做到安全防范？

可以看到智能合约审计在Web3生态系统中具有重要性。比如上面提到的Banana Gun， 由于智能合约处理着重要的资产和交易，审计变得至关重要。

智能合约中的漏洞和安全问题可能导致资金损失、数据泄露或合约被操纵。 审计有助于发现和修复这些潜在的漏洞和弱点，确保合约的安全性和可靠性。对合约进行全面审查，可以提前预防潜在的攻击，并确保用户的资金和数据安全。

同时，用户在选择项目时也需要注意：

1.  对项目进行充分调研。用户应当通过项目官网，文档，社区频道，代码审计报告等方面对项目的运行逻辑和潜在风险有足够的了解，避免落入骗局。

2.  及时关注项目的最新进展。用户应通过项目的官方推特，电报群，Discord群组等方式及时地了解项目的发展状况，以便在最短时间对Rug Pull，合约漏洞或是黑客攻击做出反应。

3. 在即将上线的 Beosin EagleEye 平台。用户可以在 Beosin EagleEye 平台上输入某一代币的合约地址，EagleEye会对其合约代码进行检测，并给出相应的风险提醒。 如EagleEye 对于 $Banana 的提醒为该代币合约可以修改税收，有honeypot风险；有白名单功能，某些地址权限过大。此外，EagleEye 还提供监控功能，用户可以使用 EagleEye 对某一地址进行实时监控，进行预警。