慢雾创始人余弦在社交平台发文分析称,BNB 链上的 OLPC/LABUBU 流动性池因交易对严重失衡而导致约 110 万美元的资金被盗。经查,漏洞出现在 OLPC 合约的 _update 函数中,只要满足条件即可销毁 value 乘以 decimalsValue 数量的 OLPC。正常情况下 decimalsValue 为 1,但在大约 46 天前,合约所有者将其改为 7326680472586200649 这个超大数值,随后不久又把所有者权限转移至 0 地址。攻击者利用该超大的 decimalsValue,触发 Pair 保留燃烧(reserve burn),只需少量 OLPC 即可换取大量 LABUBU。最终攻击者以低成本换出 111.5 万枚 USDT。可疑之处在于 decimalsValue 的异常设置,以及所有者为何会做出如此不合理的操作。
