Exploitation de BnbLabubu vide 1,1 M$ via un déséquilibre de réserve OLPC sur BNB Chain

iconAMBCrypto
Partager
AI summary iconRésumé

Un autre jour, une autre faille.

Le 20 juin, un attaquant a volé environ 1,11 million de dollars en actifs, en exploitant le pool de liquidité OLPC/LABUBU sur PancakeSwap V2 sur la BNB Chain.

L'attaque a exploité une faille dans la manière dont le market maker à produit constant du pool interagissait avec le mécanisme déflationniste de OLPC.

annonce

Bien que les réserves mises en cache de la paire soient restées inchangées, ses soldes réels de jetons ont chuté après un petit transfert depuis le contrat de l'attaquant. Ce transfert a déclenché la brûlure d'environ 51,9 millions de jetons OLPC et 124 000 jetons LABUBU du pool vers une adresse morte.

Plus de détails sur l'attaque

Le déséquilibre des réserves a créé une distorsion des prix grave.

En conséquence, l'attaquant a acheté et vidé les LABUBU restants à des prix fortement réduits.

Au moment de la rédaction, il restait incertain que la vulnérabilité ait été intentionnellement introduite bien avant l'attaque.

Cependant, une analyse préliminaire suggère que l'exploit pourrait provenir d'un paramètre decimalsValue précédemment modifié dans le contrat OLPC.

Comment cette vulnérabilité a-t-elle émergé ?

Une analyse plus approfondie suggère que cette exploitation semble provenir d'une faille ancienne dans le token OLPC. Environ 46 jours avant l'attaque, le propriétaire du token a modifié le paramètre decimalsValue de 1 à un nombre énorme. Cela a permis des brûlures excessives de tokens via la fonction _update().

L'incident a également suscité des soupçons.

Semaines avant que la propriété ne soit abandonnée, la valeur decimalsValue du contrat OLPC avait déjà été définie à un niveau anormalement élevé.

Ce délai suggère que la faille a pu être intégrée bien avant l'exploitation.

Notamment, il n'y a eu aucun signalement de mouvement des fonds volés vers d'autres chaînes, d'entrée dans Tornado Cash ou de répartition sur plusieurs wallets.

Attaques en juin

Avec une autre exploitation, la valeur totale des piratages en juin à ce jour a atteint 60,03 millions de dollars, selon les données de DeFiLlama.

Fraudes mensuelles en 2026
DeFiLlama

Cela a coïncidé avec une exploitation importante subie par Humanity Protocol [H], entraînant des pertes d'environ 32 millions de dollars. Aztec Network a subi une autre exploitation notable résultant en le transfert de 1 158 Ethereum [ETH], 150 000 DAI et 0,4696 renBTC.

De plus, UXLink, qui a été ciblé en septembre 2025, a récemment subi le transfert par l’attaquant d’environ 8,1 millions de dollars en ethereum vers Tornado Cash.

Résumé final

  • L'attaque a exploité une vulnérabilité de désynchronisation des réserves causée par les mécanismes déflationnistes du token OLPC.
  • Avant d'échanger les bénéfices, l'attaquant a pu vider la liquidité LABUBU à des taux avantageux en raison de la distorsion des prix résultante.
Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations. Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.