Eksploitasi BnbLabubu Menguras $1,1 Juta Melalui Ketidaksesuaian Cadangan OLPC di BNB Chain

iconAMBCrypto
Bagikan
AI summary iconRingkasan

Hari lain, eksploitasi lain.

Pada 20 Juni, seorang penyerang mencuri aset senilai sekitar $1,11 juta. Ini dilakukan dengan memanfaatkan kolam likuiditas OLPC/LABUBU di PancakeSwap V2 di BNB Chain.

Serangan tersebut memanfaatkan kelemahan dalam cara market maker produk konstan kolam berinteraksi dengan mekanisme deflasi OLPC.

iklan

Sementara cadangan yang di-cache pasangan tetap tidak berubah, saldo token aktualnya anjlok setelah transfer kecil dari kontrak penyerang. Transfer tersebut memicu pembakaran sekitar 51,9 juta token OLPC dan 124.000 token LABUBU dari kolam ke alamat mati.

Detail lebih lanjut tentang serangan tersebut

Ketidaksesuaian cadangan menciptakan distorsi harga yang serius.

Akibatnya, penyerang membeli dan mengosongkan LABUBU tersisa dengan harga yang sangat diskon.

Pada saat penulisan, belum jelas apakah kerentanan tersebut sengaja diperkenalkan jauh sebelum serangan.

Namun, analisis awal menunjukkan eksploitasi mungkin berasal dari parameter decimalsValue yang sebelumnya dimodifikasi dalam kontrak OLPC.

Bagaimana kerentanan ini berasal?

Analisis yang lebih mendalam menunjukkan bahwa eksploitasi ini tampaknya berasal dari kelemahan yang telah lama ada pada token OLPC. Sekitar 46 hari sebelum serangan, pemilik token mengubah parameter decimalsValue dari 1 menjadi angka yang sangat besar. Hal ini memungkinkan pembakaran token yang berlebihan melalui fungsi _update().

Insiden ini juga menimbulkan kecurigaan.

Beberapa minggu sebelum kepemilikan dilepaskan, decimalsValue kontrak OLPC sudah diatur ke tingkat yang sangat tinggi.

Waktu itu menunjukkan bahwa kelemahan tersebut mungkin telah tertanam jauh sebelum eksploitasi terjadi.

Secara signifikan, tidak ada laporan bahwa dana yang dicuri berpindah ke rantai lain, memasuki Tornado Cash, atau didistribusikan ke beberapa dompet.

Serangan pada Juni

Dengan eksploitasi lainnya, total nilai peretasan sejak awal Juni mencapai $60,03 juta, menurut data DeFiLlama.

Serangan bulanan pada tahun 2026
DeFiLlama

This coincided with Humanity Protocol [H] experiencing a significant exploit, which caused losses of about $32 million. Aztec Network saw yet another notable exploit resulting in the drainage of 1,158 Ethereum [ETH], 150,000 DAI, and 0.4696 renBTC.

Selain itu, UXLink, yang menjadi sasaran pada September 2025, baru-baru ini mengalami pelaku mentransfer sekitar $8,1 juta dalam bentuk Ethereum ke Tornado Cash.

Ringkasan Akhir

  • Serangan tersebut memanfaatkan kerentanan desinkronisasi cadangan yang disebabkan oleh mekanisme deflasi dari token OLPC.
  • Sebelum menukar keuntungan, penyerang mampu menarik likuiditas LABUBU dengan harga menguntungkan akibat distorsi harga yang dihasilkan.
Sumber:Tampilkan versi asli
Penafian: Informasi pada halaman ini mungkin telah diperoleh dari pihak ketiga dan tidak mencerminkan pandangan atau opini KuCoin. Konten ini disediakan hanya untuk tujuan informasi umum, tanpa representasi atau jaminan apa pun, dan tidak dapat ditafsirkan sebagai saran keuangan atau investasi. KuCoin tidak bertanggung jawab terhadap segala kesalahan atau kelalaian, atau hasil apa pun yang keluar dari penggunaan informasi ini. Berinvestasi di aset digital dapat berisiko. Harap mengevaluasi risiko produk dan toleransi risiko Anda secara cermat berdasarkan situasi keuangan Anda sendiri. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Pengungkapan Risiko.