BnbLabubu Exploit, BNB Zincisi'nde OLPC Rezerv Uyumsuzluğu nedeniyle 1,1 Milyon Doları Çalıyor

iconAMBCrypto
Paylaş
AI summary iconÖzet

Bir başka gün, bir başka sızma.

20 Haziran'da bir saldırgan, BNB Zinciri üzerindeki PancakeSwap V2'deki OLPC/LABUBU likidite havuzundan yararlanarak yaklaşık 1,11 milyon dolar değerinde varlık çaldı.

Saldırı, havuzun sabit-ürün market maker'ının OLPC'nin deflasyonist mekanizmasıyla etkileşimini gösteren bir hata yararlandı.

İlan

Çiftin önbelleklenmiş rezervleri değişmeden kalırken, saldırganın kontraktından yapılan küçük bir transfer sonrası gerçek token bakiyeleri çöktü. Bu transfer, havuzdan yaklaşık 51,9 milyon OLPC ve 124.000 LABUBU tokeninin ölü bir adrese yakılmasını tetikledi.

Saldırının daha fazla detayı

Rezerv uyumsuzluğu ciddi bir fiyat bozulmasına neden oldu.

Sonuç olarak, saldırgan kalan LABUBU'yu büyük indirimli fiyatlara satın aldı ve boşalttı.

Yazıldığı zaman, zafiyetin saldırıdan çok önce kasıtlı olarak mı girildiği belirsiz kalmıştı.

Ancak ilk analizler, gelişmenin OLPC sözleşmesindeki daha önce değiştirilmiş bir decimalsValue parametresinden kaynaklandığını öne sürdü.

Bu zafiyet nasıl ortaya çıktı?

Daha detaylı bir analiz, bu istismarın OLPC tokeninde uzun süredir var olan bir hata kaynaklı olduğunu gösteriyor. Saldırıdan yaklaşık 46 gün önce, token sahibi decimalsValue parametresini 1'den çok büyük bir sayıya değiştirdi. Bu, _update() fonksiyonu aracılığıyla aşırı token yakımını mümkün kıldı.

Olay, şüpheleri de artırdı.

Sahiplik reddedilmeden önceki haftalarda, OLPC sözleşmesinin decimalsValue değeri zaten olağan dışı bir düzeyde ayarlanmıştı.

Bu zamanlama, kusurun istismar gerçekleşmeden çok önce yerleştirilmiş olabileceğini gösteriyor.

Özellikle, çalınan fonların diğer zincirlere aktarıldığı, Tornado Cash'e girildiği veya birden fazla cüzdana dağıtıldığına dair hiçbir rapor yoktur.

Haziran'daki saldırılar

DeFiLlama verilerine göre, Haziran ayı itibarıyla başka bir istismarla hacklerin toplam değeri 60,03 milyon dolara ulaşmıştır.

2026'nın aylık hack'leri
DeFiLlama

Bu, Humanity Protocol [H]’in önemli bir istismara maruz kalmasıyla aynı zamana denk geldi ve bu da yaklaşık 32 milyon dolarlık kayıplara neden oldu. Aztec Network, 1.158 Ethereum [ETH], 150.000 DAI ve 0,4696 renBTC’nin boşaltılmasına neden olan başka bir önemli istismar gördü.

Ayrıca, Eylül 2025'te hedeflenen UXLink, son zamanlarda saldırganın yaklaşık 8,1 milyon dolarlık ethereum'u Tornado Cash'e aktardığını gözlemledi.

Son Özet

  • Saldırı, OLPC tokenının deflasyon mekanizmaları nedeniyle ortaya çıkan bir rezerv senkronizasyon eksikliğini kullandı.
  • Kârları değiştirmeden önce, saldırgan, ortaya çıkan fiyat bozulması nedeniyle LABUBU likiditesini avantajlı oranlarda boşaltmayı başardı.
Kaynak:Orijinalini göster
Yasal Uyarı: Bu sayfadaki bilgiler üçüncü şahıslardan alınmış olabilir ve KuCoin'in görüşlerini veya fikirlerini yansıtmayabilir. Bu içerik, herhangi bir beyan veya garanti olmaksızın yalnızca genel bilgilendirme amacıyla sağlanmıştır ve finansal veya yatırım tavsiyesi olarak yorumlanamaz. KuCoin, herhangi bir hata veya eksiklikten veya bu bilgilerin kullanımından kaynaklanan sonuçtan sorumlu değildir. Dijital varlıklara yapılan yatırımlar riskli olabilir. Lütfen bir ürünün risklerini ve risk toleransınızı kendi finansal koşullarınıza göre dikkatlice değerlendirin. Daha fazla bilgi için lütfen Kullanım Koşullarımıza ve Risk Açıklamamıza bakınız.