慢雾余弦剖析BNB Chain OLPC/LABUBU流动性池攻击事件：疑似预设计漏洞

okx 6月20日消息，慢雾安全创始人余弦发文复盘 BNB Chain PancakeSwap OLPC/LABUBU 流动性池被盗事件，指出本次攻击存在多处人为可疑操作。本次池子被掏空根源在于 OLPC 代币合约存在可被利用逻辑漏洞：合约_update函数在满足特定条件时，可销毁 value * decimalsValue 数量的 OLPC 代币。正常场景下decimalsValue默认值为 1，但该代币 owner 在攻击发生前约 46 天，将该参数恶意修改为超大数值 7326680472586200649；修改完成数日后，项目方直接丢弃合约 owner 管理员权限，权限归零至 0 地址。参数被篡改后，OLPC 与 LABUBU 交易对资金比例严重失衡。攻击者利用失真的decimalsValue数值触发池子储备销毁逻辑，仅投入小额 OLPC，就能兑换池内大量 LABUBU，最终套现离场，合计转出价值 111.5 万枚 USDT。