BnbLabubu: експлойт викрав $1,1 млн через невідповідність резервів OLPC на BNB Chain

iconAMBCrypto
Поділитися
AI summary iconКороткий зміст

Ще один день, ще одна витічка.

20 червня зловмисник вкрав активи на суму приблизно 1,11 мільйона доларів США, скориставшись ліквідністю OLPC/LABUBU на PancakeSwap V2 у ланцюжку BNB.

Атака використала недолік у взаємодії постійного продукту мейкера пулу з дефляційним механізмом OLPC.

оголошення

Хоча кешовані резерви пари залишилися незмінними, їхні реальні баланси токенів різко впали після невеликого переказу з контракту атакуючого. Цей переказ спричинив знищення приблизно 51,9 мільйона токенів OLPC і 124 000 токенів LABUBU з пулу на мертвий адресу.

Додаткові деталі атаки

Невідповідність резервів спричинила серйозне спотворення цін.

Як наслідок, атакуючий купив і вивів залишки LABUBU за значно зниженими цінами.

На момент написання залишалося невідомим, чи була ця вразливість намірно введена задовго до атаки.

Однак попередній аналіз показав, що експлойт міг виникнути через раніше змінений параметр decimalsValue у контракті OLPC.

Як виникла ця вразливість?

Більш глибокий аналіз свідчить, що ця експлуатація, схоже, виникла через довготривалу вразливість у токені OLPC. За 46 днів до атаки власник токена змінив параметр decimalsValue з 1 на надзвичайно велике число. Це дозволило масштабне знищення токенів за допомогою функції _update().

Цей інцидент також викликав підозри.

За тижні до відмови від власності, значення decimalsValue контракту OLPC вже було встановлено на незвично високому рівні.

Цей час вказував, що вразливість, можливо, була закладена набагато раніше, ніж відбулося використання.

Варто зазначити, що не було повідомлень про переказ вкрадених коштів на інші ланцюги, введення їх у Tornado Cash або розподіл між кількома гаманцями.

Атаки у червні

Згідно з даними DeFiLlama, загальна вартість хаків у червні на даний момент досягла $60,03 мільйона.

Щомісячні хаки у 2026 році
DeFiLlama

Це збіглося з тим, що Humanity Protocol [H] зазнав значного витоку, що призвело до збитків на суму близько 32 мільйонів доларів США. Aztec Network зазнав ще один примітний витік, що призвів до виведення 1 158 Ethereum [ETH], 150 000 DAI та 0,4696 renBTC.

Крім того, UXLink, який був атакований у вересні 2025 року, недавно став свідком того, як нападник перевів приблизно 8,1 мільйона доларів США в ethereum до Tornado Cash.

Фінальний підсумок

  • Атака використала вразливість десинхронізації резерву, викликану дефляційними механізмами токена OLPC.
  • Перед обміном прибутку зловмиснику вдалося вивести ліквідність LABUBU за сприятливими курсами через виниклу іскривленість цін.
Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації. Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.