Эксплуатация BnbLabubu похитила $1,1 млн из-за несоответствия резервов OLPC в сети BNB

iconAMBCrypto
Поделиться
AI summary iconСводка

Еще один день, еще одна уязвимость.

20 июня злоумышленник похитил активы на сумму около 1,11 млн долларов США, воспользовавшись ликвидностью OLPC/LABUBU на PancakeSwap V2 в сети BNB Chain.

Атака использовала уязвимость в взаимодействии постоянного продуктового мейкера пула с дефляционным механизмом OLPC.

объявление

Хотя кэшированные резервы пары остались неизменными, их фактические балансы токенов резко снизились после небольшого перевода с контракта атакующего. Этот перевод вызвал сжигание примерно 51,9 миллиона токенов OLPC и 124 000 токенов LABUBU из пула на мертвый адрес.

Дополнительные детали атаки

Несоответствие резервов вызвало серьезное искажение цен.

В результате атакующий купил и опустошил оставшиеся LABUBU по сильно сниженным ценам.

На момент написания этого текста оставалось неясным, была ли уязвимость намеренно введена задолго до атаки.

Однако предварительный анализ предполагал, что эксплуатация могла быть вызвана ранее измененным параметром decimalsValue в контракте OLPC.

Как возникла эта уязвимость?

Более детальный анализ показывает, что эта уязвимость, по всей видимости, возникла из-за давней ошибки в токене OLPC. За 46 дней до атаки владелец токена изменил параметр decimalsValue с 1 на огромное число. Это позволило осуществлять чрезмерное сжигание токенов через функцию _update().

Инцидент также вызвал подозрения.

За недели до отказа от владения, значение decimalsValue в контракте OLPC уже было установлено на необычно высокий уровень.

Это указывает на то, что уязвимость могла быть заложена задолго до того, как произошел эксплойт.

Примечательно, что не было сообщений о перемещении украденных средств на другие цепочки, попадании в Tornado Cash или распределении их между несколькими кошельками.

Атаки в июне

Согласно данным DeFiLlama, с учетом еще одного взлома общая стоимость хаков в июне на текущий момент достигла 60,03 млн долларов.

Ежемесячные взломы в 2026 году
DeFiLlama

Это совпало с тем, что Humanity Protocol [H] столкнулся с серьезной уязвимостью, которая привела к убыткам примерно в 32 миллиона долларов. Aztec Network столкнулся с еще одной заметной уязвимостью, в результате которой были похищены 1 158 Ethereum [ETH], 150 000 DAI и 0,4696 renBTC.

Кроме того, UXLink, который был атакован в сентябре 2025 года, недавно зафиксировал перевод атакующим примерно 8,1 миллиона долларов США в ethereum в Tornado Cash.

Финальное резюме

  • Атака использовала уязвимость десинхронизации резервов, вызванную дефляционными механизмами токена OLPC.
  • Перед обменом прибыли злоумышленнику удалось извлечь ликвидность LABUBU по выгодным курсам из-за искажения цен.
Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации. Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.