BnbLabubu bị khai thác, rút sạch 1,1 triệu USD do bất đồng reserves trên BNB Chain

iconAMBCrypto
Chia sẻ
AI summary iconTóm tắt

Một ngày khác, một vụ khai thác khác.

Vào ngày 20 tháng 6, một kẻ tấn công đã đánh cắp khoảng 1,11 triệu USD tài sản bằng cách khai thác hồ thanh khoản OLPC/LABUBU trên PancakeSwap V2 trên BNB Chain.

Cuộc tấn công đã khai thác một lỗ hổng trong cách người tạo lệnh sản phẩm hằng số của pool tương tác với cơ chế giảm phát của OLPC.

quảng cáo

Trong khi dự trữ được lưu trong bộ nhớ đệm của cặp này không thay đổi, số dư token thực tế của nó sụp đổ sau một khoản chuyển nhỏ từ hợp đồng của kẻ tấn công. Khoản chuyển này đã kích hoạt việc đốt khoảng 51,9 triệu token OLPC và 124.000 token LABUBU từ pool đến một địa chỉ chết.

Chi tiết thêm về cuộc tấn công

Sự không khớp dự trữ đã tạo ra sự méo mó giá nghiêm trọng.

Kết quả là, kẻ tấn công đã mua và rút hết số LABUBU còn lại với mức giá được giảm mạnh.

Vào thời điểm viết bài, vẫn chưa rõ liệu lỗ hổng này có đã được đưa vào cố ý từ lâu trước cuộc tấn công hay không.

Tuy nhiên, phân tích sơ bộ cho thấy lỗ hổng có thể bắt nguồn từ tham số decimalsValue đã được sửa đổi trước đó trong hợp đồng OLPC.

Lỗ hổng này bắt nguồn từ đâu?

Một phân tích chi tiết hơn cho thấy lỗ hổng này dường như xuất phát từ một lỗi lâu đời trong token OLPC. Khoảng 46 ngày trước cuộc tấn công, chủ sở hữu token đã thay đổi tham số decimalsValue từ 1 thành một con số cực lớn. Điều này cho phép đốt token quá mức thông qua hàm _update().

Sự việc này cũng đã làm dấy lên những nghi ngờ.

Vài tuần trước khi quyền sở hữu bị từ bỏ, decimalsValue của hợp đồng OLPC đã được thiết lập ở mức cao bất thường.

Thời điểm đó cho thấy lỗ hổng có thể đã được nhúng từ rất lâu trước khi vụ khai thác xảy ra.

Đáng chú ý, không có báo cáo nào cho thấy số tiền bị đánh cắp đã được chuyển sang các chuỗi khác, nhập vào Tornado Cash hoặc được phân phối qua nhiều ví.

Các cuộc tấn công vào tháng Sáu

Với một vụ khai thác lỗ hổng khác, tổng giá trị các vụ hack tính đến nay trong tháng Sáu đã đạt 60,03 triệu USD, theo dữ liệu từ DeFiLlama.

Các vụ hack hàng tháng năm 2026
DeFiLlama

Điều này trùng với việc Humanity Protocol [H] trải qua một lỗ hổng nghiêm trọng, gây tổn thất khoảng 32 triệu USD. Aztec Network ghi nhận thêm một lỗ hổng đáng chú ý dẫn đến việc bị rút sạch 1.158 Ethereum [ETH], 150.000 DAI và 0,4696 renBTC.

Ngoài ra, UXLink, vốn đã bị nhắm mục tiêu vào tháng 9 năm 2025, gần đây ghi nhận kẻ tấn công chuyển khoảng 8,1 triệu đô la Mỹ ethereum vào Tornado Cash.

Tổng kết cuối cùng

  • Cuộc tấn công đã khai thác lỗ hổng mất đồng bộ dự trữ do các cơ chế giảm phát của token OLPC gây ra.
  • Trước khi chuyển đổi lợi nhuận, kẻ tấn công đã có thể rút hết thanh khoản LABUBU với các mức giá có lợi do sự méo mó giá gây ra.
Nguồn:Hiển thị bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể được lấy từ bên thứ ba và không nhất thiết phản ánh quan điểm hoặc ý kiến của KuCoin. Nội dung này chỉ được cung cấp cho mục đích thông tin chung, không có bất kỳ đại diện hay bảo đảm nào dưới bất kỳ hình thức nào và cũng không được hiểu là lời khuyên tài chính hay đầu tư. KuCoin sẽ không chịu trách nhiệm về bất kỳ sai sót hoặc thiếu sót nào hoặc về bất kỳ kết quả nào phát sinh từ việc sử dụng thông tin này. Việc đầu tư vào tài sản kỹ thuật số có thể tiềm ẩn nhiều rủi ro. Vui lòng đánh giá cẩn thận rủi ro của sản phẩm và khả năng chấp nhận rủi ro của bạn dựa trên hoàn cảnh tài chính của chính bạn. Để biết thêm thông tin, vui lòng tham khảo Điều khoản sử dụngTiết lộ rủi ro của chúng tôi.