استغلال BnbLabubu يُفرغ 1.1 مليون دولار عبر عدم تطابق احتياطي OLPC على سلسلة BNB

iconAMBCrypto
مشاركة
AI summary iconملخص

يوم آخر، استغلال آخر.

في 20 يونيو، سرق مهاجم أصولًا بقيمة حوالي 1.11 مليون دولار. تم ذلك من خلال الاستفادة من حوض السيولة OLPC/LABUBU على PancakeSwap V2 على شبكة BNB.

استغل الهجوم ثغرة في كيفية تفاعل صانع السوق الثابت للمنتج في الصندوق مع آلية التضاؤل الخاصة بـ OLPC.

AD

بينما ظلت احتياطيات الزوج المخزنة دون تغيير، انخفضت أرصدة الرموز الفعلية بعد تحويل صغير من عقد المهاجم. وقد أدى هذا التحويل إلى حرق حوالي 51.9 مليون رمز OLPC و124,000 رمز LABUBU من الصندوق إلى عنوان ميت.

تفاصيل إضافية عن الهجوم

أدى عدم التوافق في الاحتياطي إلى تشويه كبير في التسعير.

نتيجةً لذلك، قام المهاجم بشراء وتفريغ باقي LABUBU بأسعار مخفضة بشدة.

في وقت كتابة هذا التقرير، ظل غير واضح ما إذا كان الثغرة قد تم إدخالها عمدًا قبل الهجوم بفترة طويلة.

ومع ذلك، فقد أشار التحليل الأولي إلى أن الاستغلال قد نشأ من معلمة decimalsValue تم تعديلها مسبقًا في عقد OLPC.

كيف نشأ هذا الثغرة؟

تشير تحليل أعمق إلى أن هذا الاستغلال يبدو أنه نشأ من خلل قديم في رمز OLPC. قبل حوالي 46 يومًا من الهجوم، غيّر مالك الرمز معلمة decimalsValue من 1 إلى رقم ضخم. وقد مكّن هذا من حرق كميات هائلة من الرموز من خلال دالة _update().

لقد أثار الحادث أيضًا شكوكًا.

قبل أسابيع من التخلي عن الملكية، كان تم تعيين قيمة decimalsValue في عقد OLPC بالفعل إلى مستوى مرتفع بشكل غير عادي.

هذا التوقيت يشير إلى أن العيب قد يكون مُضمنًا منذ فترة طويلة قبل وقوع الاستغلال.

جدير بالذكر أنه لم تُبلغ عن أي تحركات للأموال المسروقة إلى سلاسل أخرى، أو دخولها إلى Tornado Cash، أو توزيعها عبر محفظات متعددة.

الهجمات في يونيو

وفقًا لبيانات DeFiLlama، بلغ إجمالي قيمة الاختراقات منذ يونيو حتى الآن 60.03 مليون دولار مع اختراق آخر.

الاختراقات الشهرية في عام 2026
DeFiLlama

وقد تزامن ذلك مع تعرض بروتوكول الإنسانية [H] لـ استغلال كبير, تسبب في خسائر قدرها حوالي 32 مليون دولار. وشهدت شبكة Aztec استغلالًا آخر بارزًا أدى إلى سرقة 1,158 Ethereum [ETH] و150,000 DAI و0.4696 renBTC.

إضافةً إلى ذلك، شهدت UXLink، التي تم استهدافها في سبتمبر 2025، مؤخرًا نقل المهاجم حوالي 8.1 مليون دولار أمريكي من الإيثريوم إلى Tornado Cash.

الملخص النهائي

  • استغل الهجوم ثغرة في عدم مزامنة الاحتياطي نتجت عن آليات التضاؤل الخاصة بعملة OLPC.
  • قبل تبديل الأرباح، تمكّن المهاجم من سحب سيولة LABUBU بأسعار مواتية بسبب التشويه الناتج في التسعير.
المصدر:عرض النسخة الأصلية
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة قد حصلت عليها من أطراف ثالثة ولا تعكس بالضرورة وجهات نظر أو آراء KuCoin. يُقدّم هذا المحتوى لأغراض إعلامية عامة فقط ، دون أي تمثيل أو ضمان من أي نوع ، ولا يجوز تفسيره على أنه مشورة مالية أو استثمارية. لن تكون KuCoin مسؤولة عن أي أخطاء أو سهو ، أو عن أي نتائج ناتجة عن استخدام هذه المعلومات. يمكن أن تكون الاستثمارات في الأصول الرقمية محفوفة بالمخاطر. يرجى تقييم مخاطر المنتج بعناية وتحملك للمخاطر بناء على ظروفك المالية الخاصة. لمزيد من المعلومات، يرجى الرجوع إلى شروط الاستخدام واخلاء المسؤولية.