Неизвестные похитили $1,1 млн из PancakeSwap через мемкоин LABUBU

Злоумышленники вывели около $1,1 млн из пула ликвидности пары токенов OLPC/LABUBU на платформе PancakeSwap V2, работающей с блокчейном BNB Chain. Взлом обнаружили аналитики компании PeckShieldAlert.

Уязвимость, которой воспользовались хакеры, связана с работой PancakeSwap, предположили специалисты по безопасности. По другой версии, это была спланированная инсайдерская атака (rug pull), использовавшая критическую ошибку логики, намеренно заложенную в смарт‑контракт токена OLPC.

Атака началась с отправки через вредоносный контракт небольшого количества утилитарных токенов OLPC, которые используются для предоставления ликвидности в паре с мемкоином в честь монстриков Лабубу, LABUBU. Это спровоцировало масштабное сгорание токенов — около 51,9 млн OLPC и 124000 LABUBU были отправлены на «мертвый адрес». Через несколько дней владелец OLPC отказался от прав на вредоносный контракт, передав управление на «мертвый адрес». 

Из‑за резкого уничтожения монет внутренние записи пула перестали соответствовать реальным балансам токенов. Проще говоря, пул по‑прежнему считал, что располагает определенным количеством токенов, хотя реальные объемы уже изменились. Этим воспользовались злоумышленники: дисбаланс позволил злоумышленнику извлечь токены LABUBU с минимальными затратами, используя небольшое количество токенов OLPC на входе.

Причина взлома связана с функцией в контракте OLPC, где стоимость могла сгорать на основе функции decimalsValue, считают эксперты блокчейн-безопасности. Этот механизм выполнял роль множителя в функции сжигания токенов — то есть определял, сколько токенов будет сожжено при выполнении операции. Примерно за 46 дней до атаки владелец опасного контракта OLPC изменил параметр на чрезвычайно большое число 7326 680472 586200 649, выяснили аналитики. Это значительно увеличило объем токенов OLPC, которые могли быть сожжены во время определенных операций.

Злоумышленники опустошил часть пула с токенами LABUBU и начали перемещать украденные активы через другие торговые пары — LABUBU/WBNB и WBNB/USDT. В итоге удалось конвертировать все в примерно 1115 903 USDT. 

После кражи средств хакеры не задержались надолго в одной сети. Аналитики PeckShieldAlert сообщили, что средства были переведены из BNB Chain в Эфириум. Оттуда около 633,4 ETH были отправлены в миксер Tornado Cash. Небольшие суммы — 0,0221 BNB и 0,0411 ETH — отправились на «мертвый адрес», что усложнило отслеживание средств.

Накануне злоумышленники воспользовались уязвимостью смарт-контракта ICS-20 сети Secret Network и похитили активы на $4,67 млн. Под атаку попал канал взаимодействия между Secret Network и протоколом Axelar, используемый для перевода средств между двумя экосистемами.

источник

Click to rate this post!
[Total: 0 Average: 0]
Admin

Recent Posts

Токены

Зарегистрированная в Великобритании криптобиржа EXMO сообщила о прекращении работы. Власти Соединенного Королевства еще в мае…

3 часа ago

Трамп призвал конгрессменов принять закон о регулировании криптовалют

Президент США Дональд Трамп призвал Сенат одобрить законопроект о регулировании криптовалют СLARITY — ради покойного…

8 часов ago

Альткоины

Крупные держатели криптовалюты Cardano, хранящие от 100000 до 100 млн ADA, накопили более 25,6 млрд…

17 часов ago

Skyrexio и WEEX разыгрывают 10 000 USDT в турнире для трейдеров

Для участия в соревнованиях нужно подключить аккаунт WEEX к Skyrexio до 1 августа. Среди призов…

21 час ago

Хакеры вывели из протокола Bonzo Lend $9,05 млн

Протокол криптокредитования Bonzo Lend, созданный на базе блокчейна Hedera, потерял около $9,05 млн. В субботу,…

21 час ago

Лимит эмиссии биткоина надо заменить регулярным выпуском новых монет — предложение сооснователя Zcash

Гендиректор израильской блокчейн-компании StarkWare, ученый-программист и сооснователь приватной монеты Zcash Эли Бен-Сассон (Eli Ben-Sasson) предложил…

22 часа ago