PancakeSwap V2 上的 OLPC/LABUBU 流动性池遭到攻击,造成约 111 万美元的 USDT 损失,预计为犯罪者带来 96 万美元的净利润。
攻击机制
在 BNB 链上,此次漏洞触发了 OLPC/LABUBU 对中的一个模糊功能,将大约 10 个 OLPC 代币转移到攻击者的合约中。这一举措导致大约 5190 万个 OLPC 和 124,000 个 LABUBU 代币从矿池地址 0xedb7…f365 被销毁到死亡地址 0x…死亡。
随后的交易耗尽了池子的 LABUBU 一侧,通过 LABUBU/WBNB 和 WBNB/USDT 路径传输资产。转换过程总共生成了 1,115,903 USDT,攻击者随后将其桥接至以太坊。
后果和市场影响
调查人员认为,该漏洞可能源于转移时燃烧的代币的通货紧缩性质,从而导致固定乘数池中的储备金失衡。缓存的准备金与实际余额之间的不匹配为攻击者提供了窃取资金的窗口。
桥接后,犯罪分子将大约 633.4ETH 存入 Tornado Cash,并额外传输了 0.0221ETH,进一步掩盖了踪迹。 BNB 链上的投资者现在面临着对流动性池安全的严格审查,而该事件凸显了加密基础设施中持续存在的漏洞。