BnbLabubu bị khai thác, thất thoát 1,1 triệu USD sau lệch dự trữ OLPC
Một vụ khai thác trên PancakeSwap V2 thuộc BNB Chain đã làm thất thoát khoảng 1,11 triệu USD từ cặp OLPC/LABUBU vào ngày 20/6.
Lỗ hổng nằm ở sự lệch giữa dự trữ được lưu trong pool và số dư thực tế sau một chuyển khoản nhỏ từ hợp đồng của kẻ tấn công, khiến cơ chế định giá bị bóp méo và lượng token trong pool bị đốt bất thường.
- Kẻ tấn công đã lợi dụng cặp thanh khoản OLPC/LABUBU trên PancakeSwap V2 để rút khoảng 1,11 triệu USD.
- Sự chênh lệch giữa reserve và số dư thực tế đã tạo ra sai lệch giá nghiêm trọng trong pool.
- Dữ liệu hiện có cho thấy tổng thiệt hại do hack trong tháng 6 đã lên 60,03 triệu USD.
Vụ khai thác OLPC/LABUBU diễn ra như thế nào?
OLPC/LABUBU là một vụ khai thác dựa trên sự lệch trạng thái của pool thanh khoản, khiến giá token trong pool bị định giá sai. Kẻ tấn công đã tận dụng sai lệch này để mua và rút phần LABUBU còn lại với mức giá rất thấp.
Ban đầu, reserve được ghi nhận của pool vẫn không đổi, nhưng số dư token thực tế đã sụt mạnh sau một giao dịch nhỏ từ hợp đồng của kẻ tấn công. Giao dịch đó kích hoạt việc đốt khoảng 51,9 triệu OLPC và 124.000 LABUBU sang địa chỉ chết.
Nguyên nhân gốc được xác định ở đâu?
Lỗ hổng được cho là liên quan đến tham số decimalsValue trong hợp đồng OLPC. Khoảng 46 ngày trước vụ tấn công, giá trị này đã bị đổi từ 1 lên một con số rất lớn, tạo điều kiện cho việc đốt token quá mức thông qua hàm _update().
Hiện chưa rõ thay đổi đó có được cài đặt từ trước với chủ đích nào hay không. Tuy vậy, việc tham số này đã ở mức bất thường trước khi quyền sở hữu hợp đồng được từ bỏ làm dấy lên nghi ngờ rằng sai sót có thể đã tồn tại từ lâu.
Diễn biến sau vụ tấn công còn để lại dấu hỏi
Dữ liệu hiện có chưa cho thấy số tiền bị đánh cắp đã được chuyển sang chuỗi khác, đưa vào Tornado Cash hay phân tán qua nhiều ví. Điều này khiến việc theo dõi dòng tiền sau khai thác vẫn còn bỏ ngỏ.
Đối với thị trường, điểm đáng chú ý là vụ việc không chỉ làm thiệt hại trực tiếp cho một pool thanh khoản mà còn cho thấy rủi ro từ cơ chế token deflation khi được tích hợp với AMM. Các giao thức có cấu trúc tương tự cần được rà soát kỹ hơn ở phần tính toán reserve và cơ chế đốt token.
Tháng 6 ghi nhận 60,03 triệu USD thiệt hại do hack
Vụ khai thác OLPC/LABUBU góp phần đẩy tổng giá trị các vụ hack trong tháng 6 lên 60,03 triệu USD theo dữ liệu DeFiLlama. Đây là mức thiệt hại cộng dồn sau nhiều sự cố liên quan đến các giao thức khác trong cùng tháng.
Trong số các vụ việc được nhắc tới, Humanity Protocol [H] chịu thiệt hại khoảng 32 triệu USD, còn Aztec Network ghi nhận tổn thất gồm 1.158 ETH, 150.000 DAI và 0,4696 renBTC. UXLink cũng xuất hiện trong danh sách khi kẻ tấn công chuyển khoảng 8,1 triệu USD bằng Ethereum vào Tornado Cash.
Nguồn: DeFiLlama
Tổng kết
Vụ OLPC/LABUBU cho thấy các lỗi liên quan đến reserve, cơ chế đốt và định giá trong AMM vẫn có thể tạo ra thiệt hại lớn nếu không được kiểm soát chặt.
Você também pode gostar
Canton Strategic triển khai chương trình mua lại cổ phiếu 50 triệu USD
BlackRock gây tranh cãi với ETF lợi suất Bitcoin, có thể kém BTC lâu dài
Nigéria investe 9 milhões de dólares em investigação para impulsionar ambições da economia digital
