Explotación de BnbLabubu drena $1,1 millones mediante desajuste de reserva de OLPC en BNB Chain

iconAMBCrypto
Compartir
AI summary iconResumen

Otro día, otra explotación.

El 20 de junio, un atacante robó activos por un valor aproximado de $1,11 millones. Esto se logró aprovechando el pool de liquidez OLPC/LABUBU en PancakeSwap V2 en la BNB Chain.

El ataque explotó una falla en la forma en que el maker de producto constante de la piscina interactuó con el mecanismo deflacionario de OLPC.

anuncio

Mientras que las reservas en caché del par permanecieron sin cambios, sus saldos reales de tokens colapsaron tras una pequeña transferencia desde el contrato del atacante. Esa transferencia activó la quema de aproximadamente 51,9 millones de tokens OLPC y 124.000 tokens LABUBU desde la piscina hacia una dirección muerta.

Más detalles del ataque

La discrepancia en las reservas generó una distorsión grave en los precios.

Como resultado, el atacante compró y agotó el LABUBU restante a precios muy reducidos.

En el momento de escribir esto, seguía sin estar claro si la vulnerabilidad había sido introducida intencionadamente mucho antes del ataque.

Sin embargo, el análisis preliminar sugirió que la explotación pudo haber surgido de un parámetro decimalsValue previamente modificado en el contrato OLPC.

¿Cómo surgió esta vulnerabilidad?

Un análisis más detallado sugiere que esta explotación parece haber surgido de una vulnerabilidad de larga data en el token OLPC. Aproximadamente 46 días antes del ataque, el propietario del token cambió el parámetro decimalsValue de 1 a un número extremadamente grande. Esto permitió quemas excesivas de tokens a través de la función _update().

El incidente también ha generado sospechas.

Semanas antes de que se renunciara a la propiedad, el valor de decimals del contrato OLPC ya había sido establecido en un nivel inusualmente alto.

Ese momento sugirió que la falla pudo haber estado incrustada mucho antes de que ocurriera la explotación.

Destacadamente, no se han reportado movimientos de los fondos robados a otras cadenas, entrada en Tornado Cash o distribución en múltiples monederos.

Ataques en junio

Con otro exploit, el valor total de los hackeos en junio hasta la fecha ha alcanzado $60,03 millones, según los datos de DeFiLlama.

Robos mensuales en 2026
DeFiLlama

Esto coincidió con Humanity Protocol [H] experimentando un exploit significativo, que causó pérdidas de aproximadamente $32 millones. Aztec Network sufrió otro exploit notable que resultó en el drenaje de 1.158 Ethereum [ETH], 150.000 DAI y 0,4696 renBTC.

Además, UXLink, que fue atacada en septiembre de 2025, recientemente presenció al atacante transferir aproximadamente $8.1 millones en ethereum a Tornado Cash.

Resumen final

  • El ataque aprovechó una vulnerabilidad de desincronización de reservas provocada por los mecanismos deflacionarios del token OLPC.
  • Antes de intercambiar las ganancias, el atacante pudo agotar la liquidez de LABUBU a tasas ventajosas debido a la distorsión de precios resultante.
Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información. Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.