Exploração do BnbLabubu drena US$ 1,1 milhão por meio de inconsistência na reserva da OLPC na BNB Chain

iconAMBCrypto
Compartilhar
AI summary iconResumo

Mais um dia, mais uma exploração.

Em 20 de junho, um atacante roubou ativos no valor aproximado de US$ 1,11 milhão. Isso foi feito explorando o pool de liquidez OLPC/LABUBU no PancakeSwap V2 na BNB Chain.

O ataque explorou uma falha na forma como o criador de mercado de produto constante do pool interagia com o mecanismo deflacionário da OLPC.

anúncio

Enquanto as reservas em cache do par permaneceram inalteradas, seus saldos reais de tokens entraram em colapso após uma pequena transferência do contrato do atacante. Essa transferência desencadeou a queima de aproximadamente 51,9 milhões de tokens OLPC e 124 mil tokens LABUBU do pool para um endereço inativo.

Mais detalhes sobre o ataque

O descompasso de reservas criou uma distorção de preços severa.

Como resultado, o atacante comprou e esvaziou o LABUBU restante a preços fortemente descontados.

No momento da escrita, permanecia incerto se a vulnerabilidade havia sido intencionalmente introduzida muito antes do ataque.

No entanto, a análise preliminar sugeriu que a exploração pode ter surgido de um parâmetro decimalsValue previamente modificado no contrato OLPC.

Como essa vulnerabilidade surgiu?

Uma análise mais aprofundada sugere que essa exploração parece ter surgido de uma falha de longa data no token OLPC. Cerca de 46 dias antes do ataque, o proprietário do token alterou o parâmetro decimalsValue de 1 para um número extremamente grande. Isso permitiu queimas excessivas de tokens por meio da função _update().

O incidente também levantou suspeitas.

Semanas antes da renúncia da propriedade, o decimalsValue do contrato OLPC já havia sido definido em um nível incomumente alto.

Esse timing sugeriu que a falha pode ter sido incorporada muito antes do exploit ocorrer.

Notavelmente, não houve relatos de que os fundos roubados tenham sido transferidos para outras cadeias, entrado no Tornado Cash ou distribuídos entre várias carteiras.

Ataques em junho

Com outro exploit, o valor total dos ataques em junho até a data atual atingiu US$ 60,03 milhões, segundo dados da DeFiLlama.

Invasões mensais em 2026
DeFiLlama

Isso coincidiu com o Humanity Protocol [H] experimentando um exploit significativo, que causou perdas de aproximadamente US$ 32 milhões. A Aztec Network registrou outro exploit notável resultando na retirada de 1.158 Ethereum [ETH], 150.000 DAI e 0,4696 renBTC.

Além disso, o UXLink, que foi alvo em setembro de 2025, testemunhou recentemente o atacante transferindo aproximadamente US$ 8,1 milhões em ethereum para o Tornado Cash.

Resumo Final

  • O ataque explorou uma vulnerabilidade de dessincronização de reservas causada pelos mecanismos deflacionários do token OLPC.
  • Antes de trocar os lucros, o atacante conseguiu esvaziar a liquidez do LABUBU a taxas vantajosas devido à distorção de preços resultante.
Fonte:Mostrar original
Aviso legal: as informações nesta página podem ter sido obtidas de terceiros e não refletem necessariamente os pontos de vista ou opiniões da KuCoin. Este conteúdo é fornecido apenas para fins informativos gerais, sem qualquer representação ou garantia de qualquer tipo, nem deve ser interpretado como aconselhamento financeiro ou de investimento. A KuCoin não é responsável por quaisquer erros ou omissões, ou por quaisquer resultados do uso destas informações. Os investimentos em ativos digitais podem ser arriscados. Avalie cuidadosamente os riscos de um produto e a sua tolerância ao risco com base nas suas próprias circunstâncias financeiras. Para mais informações, consulte nossos termos de uso e divulgação de risco.