Уязвимость, которой воспользовались хакеры, связана с работой PancakeSwap, предположили специалисты по безопасности. По другой версии, это была спланированная инсайдерская атака (rug pull), использовавшая критическую ошибку логики, намеренно заложенную в смарт‑контракт токена OLPC.
Атака началась с отправки через вредоносный контракт небольшого количества утилитарных токенов OLPC, которые используются для предоставления ликвидности в паре с мемкоином в честь монстриков Лабубу, LABUBU. Это спровоцировало масштабное сгорание токенов — около 51,9 млн OLPC и 124 000 LABUBU были отправлены на «мертвый адрес». Через несколько дней владелец OLPC отказался от прав на вредоносный контракт, передав управление на «мертвый адрес».
Из‑за резкого уничтожения монет внутренние записи пула перестали соответствовать реальным балансам токенов. Проще говоря, пул по‑прежнему считал, что располагает определенным количеством токенов, хотя реальные объемы уже изменились. Этим воспользовались злоумышленники: дисбаланс позволил злоумышленнику извлечь токены LABUBU с минимальными затратами, используя небольшое количество токенов OLPC на входе.
Причина взлома связана с функцией в контракте OLPC, где стоимость могла сгорать на основе функции decimalsValue, считают эксперты блокчейн-безопасности. Этот механизм выполнял роль множителя в функции сжигания токенов — то есть определял, сколько токенов будет сожжено при выполнении операции. Примерно за 46 дней до атаки владелец опасного контракта OLPC изменил параметр на чрезвычайно большое число 7 326 680 472 586 200 649, выяснили аналитики. Это значительно увеличило объем токенов OLPC, которые могли быть сожжены во время определенных операций.
Злоумышленники опустошил часть пула с токенами LABUBU и начали перемещать украденные активы через другие торговые пары — LABUBU/WBNB и WBNB/USDT. В итоге удалось конвертировать все в примерно 1 115 903 USDT.
После кражи средств хакеры не задержались надолго в одной сети. Аналитики PeckShieldAlert сообщили, что средства были переведены из BNB Chain в Эфириум. Оттуда около 633,4 ETH были отправлены в миксер Tornado Cash. Небольшие суммы — 0,0221 BNB и 0,0411 ETH — отправились на «мертвый адрес», что усложнило отслеживание средств.
Накануне злоумышленники воспользовались уязвимостью смарт-контракта ICS-20 сети Secret Network и похитили активы на $4,67 млн. Под атаку попал канал взаимодействия между Secret Network и протоколом Axelar, используемый для перевода средств между двумя экосистемами.