慢雾余弦质疑BNB Chain上LABUBU“被盗”事件：关键参数疑似被异常修改

Odaily Planet Daily News: SlowMist founder Yu Xian đã đăng phân tích cho rằng sự cố thất thoát khoảng 1,1 triệu USD trong pool thanh khoản OLPC/LABUBU trên BNB Chain có nhiều điểm đáng ngờ. Việc mất mát là do cặp giao dịch OLPC/LABUBU mất cân bằng nghiêm trọng, nguyên nhân mất cân bằng là do một "lỗ hổng" trong OLPC đã bị khai thác. Trong hàm _update, khi đáp ứng điều kiện, nó có thể đốt (burn) một lượng OLPC bằng value * decimalsValue. Thông thường, decimalsValue là 1, nhưng khoảng 46 ngày trước khi bị tấn công, owner đã thay đổi nó thành một giá trị cực lớn là 7326680472586200649. Vài ngày sau, owner của OLPC đã từ bỏ quyền owner, khiến địa chỉ trở thành 0.

Hôm nay, kẻ tấn công đã lợi dụng giá trị decimalsValue cực lớn này để kích hoạt việc đốt (burn) reserve của cặp Pair, sau đó chỉ với một lượng nhỏ OLPC đã có thể thu được một lượng lớn LABUBU. Kẻ tấn công cuối cùng đã đổi ra 1,115 triệu USDT với chi phí thấp. Điểm đáng ngờ nằm ở việc thiết lập decimalsValue, tại sao owner của OLPC lại thực hiện việc đặt giá trị cực lớn này.