SlowMist phân tích vụ tấn công pool OLPC/LABUBU trên BNB Chain: nghi lỗ hổng được thiết kế sẵn

SlowMist cho biết vụ rút cạn thanh khoản của cặp OLPC/LABUBU trên BNB Chain bắt nguồn từ một lỗ hổng trong hợp đồng OLPC, sau đó bị khai thác để rút giá trị tương đương 1,115 triệu USDT.

Nhà sáng lập SlowMist, Yu Xuan, cho biết vụ việc có nhiều dấu hiệu thao tác thủ công đáng ngờ. Cốt lõi nằm ở hàm update của hợp đồng OLPC, vốn có thể đốt một lượng token theo điều kiện nhất định.

Bình thường, tham số decimalsValue mặc định là 1. Tuy nhiên, trước thời điểm bị khai thác khoảng 46 ngày, chủ sở hữu hợp đồng đã đổi tham số này lên mức 7.326.680.472.586.200.649. Vài ngày sau đó, dự án lại từ bỏ quyền quản trị owner, đưa quyền này về địa chỉ 0.

Sau khi tham số bị sửa, tỷ lệ tài sản trong pool OLPC/LABUBU bị lệch mạnh. Kẻ tấn công đã tận dụng cơ chế đốt dự trữ với giá trị decimalsValue bị làm sai lệch, chỉ cần nạp lượng OLPC nhỏ nhưng có thể đổi ra phần lớn LABUBU trong pool, rồi rút tài sản ra ngoài.

Tuyên bố miễn trừ: Bài viết này chỉ nhằm mục đích cung cấp thông tin dưới dạng blog cá nhân, không phải là khuyến nghị đầu tư. Nhà đầu tư cần tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định và chúng tôi không chịu trách nhiệm đối với bất kỳ quyết định đầu tư nào của bạn.

Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, TinTucBitcoin.com hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.