Le pool de liquidités OLPC/LABUBU sur PancakeSwap V2 a été attaqué, provoquant une perte d'environ 1,11 million de dollars en USDT et générant un bénéfice net estimé à 960 000 $ pour l'auteur.
Mécaniques d'attaque
Sur la chaîne BNB, la violation a déclenché une fonction obscure au sein de la paire OLPC/LABUBU, déplaçant environ 10 jetons OLPC dans le contrat de l'attaquant. Cette manœuvre a conduit à la combustion d'environ 51,9 millions de jetons OLPC et 124 000 LABUBU de l'adresse du pool 0xedb7…f365 à l'adresse morte 0x…morte.
Les transactions ultérieures ont drainé le côté LABUBU du pool, acheminant les actifs via les voies LABUBU/WBNB et WBNB/USDT. Le processus de conversion a généré un total de 1 115 903 USDT, que l'attaquant a ensuite relié à Ethereum.
Conséquences et implications sur le marché
Les enquêteurs suggèrent que l'exploit pourrait provenir de la nature déflationniste des jetons qui brûlent lors du transfert, créant des déséquilibres de réserves dans les pools à multiplicateurs fixes. L'inadéquation entre les réserves mises en cache et les soldes réels a donné à l'attaquant une fenêtre pour siphonner les fonds.
Après la transition, le criminel a déposé environ 633,4 ETH dans Tornado Cash et a transmis 0,0221 ETH supplémentaires, obscurcissant encore davantage la piste. Les investisseurs de la chaîne BNB sont désormais confrontés à une surveillance accrue de la sécurité du pool de liquidités, tandis que l'incident souligne les vulnérabilités persistantes de l'infrastructure cryptographique.