Mục lục

Một vụ khai thác trên PancakeSwap V2 thuộc BNB Chain đã làm thất thoát khoảng 1,11 triệu USD từ cặp OLPC/LABUBU vào ngày 20/6.

Lỗ hổng nằm ở sự lệch giữa dự trữ được lưu trong pool và số dư thực tế sau một chuyển khoản nhỏ từ hợp đồng của kẻ tấn công, khiến cơ chế định giá bị bóp méo và lượng token trong pool bị đốt bất thường.

NỘI DUNG CHÍNH

Kẻ tấn công đã lợi dụng cặp thanh khoản OLPC/LABUBU trên PancakeSwap V2 để rút khoảng 1,11 triệu USD.
Sự chênh lệch giữa reserve và số dư thực tế đã tạo ra sai lệch giá nghiêm trọng trong pool.
Dữ liệu hiện có cho thấy tổng thiệt hại do hack trong tháng 6 đã lên 60,03 triệu USD.

Vụ khai thác OLPC/LABUBU diễn ra như thế nào?

OLPC/LABUBU là một vụ khai thác dựa trên sự lệch trạng thái của pool thanh khoản, khiến giá token trong pool bị định giá sai. Kẻ tấn công đã tận dụng sai lệch này để mua và rút phần LABUBU còn lại với mức giá rất thấp.

Xem thêm: Chainalysis: Thiệt hại lừa đảo crypto có thể đạt 17 tỷ USD

Ban đầu, reserve được ghi nhận của pool vẫn không đổi, nhưng số dư token thực tế đã sụt mạnh sau một giao dịch nhỏ từ hợp đồng của kẻ tấn công. Giao dịch đó kích hoạt việc đốt khoảng 51,9 triệu OLPC và 124.000 LABUBU sang địa chỉ chết.

Nguyên nhân gốc được xác định ở đâu?

Lỗ hổng được cho là liên quan đến tham số decimalsValue trong hợp đồng OLPC. Khoảng 46 ngày trước vụ tấn công, giá trị này đã bị đổi từ 1 lên một con số rất lớn, tạo điều kiện cho việc đốt token quá mức thông qua hàm _update().

Hiện chưa rõ thay đổi đó có được cài đặt từ trước với chủ đích nào hay không. Tuy vậy, việc tham số này đã ở mức bất thường trước khi quyền sở hữu hợp đồng được từ bỏ làm dấy lên nghi ngờ rằng sai sót có thể đã tồn tại từ lâu.

Diễn biến sau vụ tấn công còn để lại dấu hỏi

Dữ liệu hiện có chưa cho thấy số tiền bị đánh cắp đã được chuyển sang chuỗi khác, đưa vào Tornado Cash hay phân tán qua nhiều ví. Điều này khiến việc theo dõi dòng tiền sau khai thác vẫn còn bỏ ngỏ.

Xem thêm: Cá voi tích lũy khi BEAT chạm vùng cầu quan trọng, kỳ vọng hồi phục

Đối với thị trường, điểm đáng chú ý là vụ việc không chỉ làm thiệt hại trực tiếp cho một pool thanh khoản mà còn cho thấy rủi ro từ cơ chế token deflation khi được tích hợp với AMM. Các giao thức có cấu trúc tương tự cần được rà soát kỹ hơn ở phần tính toán reserve và cơ chế đốt token.

Tháng 6 ghi nhận 60,03 triệu USD thiệt hại do hack

Vụ khai thác OLPC/LABUBU góp phần đẩy tổng giá trị các vụ hack trong tháng 6 lên 60,03 triệu USD theo dữ liệu DeFiLlama. Đây là mức thiệt hại cộng dồn sau nhiều sự cố liên quan đến các giao thức khác trong cùng tháng.

Trong số các vụ việc được nhắc tới, Humanity Protocol [H] chịu thiệt hại khoảng 32 triệu USD, còn Aztec Network ghi nhận tổn thất gồm 1.158 ETH, 150.000 DAI và 0,4696 renBTC. UXLink cũng xuất hiện trong danh sách khi kẻ tấn công chuyển khoảng 8,1 triệu USD bằng Ethereum vào Tornado Cash.

Monthly hacks in 2026 — Nguồn: DeFiLlama

Tổng kết

Vụ OLPC/LABUBU cho thấy các lỗi liên quan đến reserve, cơ chế đốt và định giá trong AMM vẫn có thể tạo ra thiệt hại lớn nếu không được kiểm soát chặt.

Tuyên bố miễn trừ: Bài viết này chỉ nhằm mục đích cung cấp thông tin dưới dạng blog cá nhân, không phải là khuyến nghị đầu tư. Nhà đầu tư cần tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định và chúng tôi không chịu trách nhiệm đối với bất kỳ quyết định đầu tư nào của bạn.

Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, TinTucBitcoin.com hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.