سرقت ۱.۱ میلیون دلاری از استخر نقدینگی پنکیک سواپ؛ تداوم حملات در شبکه BNB

بر اساس گزارش‌های منتشر شده، یک مهاجم سایبری موفق شد با سوءاستفاده از یک نقص امنیتی در استخر نقدینگی OLPC/LABUBU در صرافی غیرمتمرکز پنکیک سواپ (PancakeSwap) بر بستر شبکه بی‌ان‌بی چین، بیش از ۱.۱۱ میلیون دلار دارایی دیجیتال را به سرقت ببرد.

این حادثه که در تاریخ ۲۰ ژوئن رخ داد، بار دیگر آسیب‌پذیری‌های موجود در مکانیزم‌های کاهش تورم توکن‌ها و نحوه تعامل آن‌ها با بازارسازهای خودکار را برجسته کرد.

جزئیات فنی نفوذ و بهره‌برداری از قرارداد هوشمند

این حمله با بهره‌برداری از شکاف میان ذخایر ثبت‌شده و موجودی واقعی توکن‌ها انجام شد. مهاجم با ارسال تراکنشی کوچک، مکانیزم توکن‌سوزی قرارداد OLPC را فعال کرد که منجر به حذف ناگهانی ۵۱.۹ میلیون توکن OLPC و ۱۲۴ هزار توکن LABUBU از استخر شد.

این ناهماهنگی باعث تغییر شدید قیمت شد و به مهاجم اجازه داد توکن‌های باقی‌مانده را با تخفیف بسیار بالا خریداری و استخر را تخلیه کند.

ردپای دست‌کاری عمدی در کد قرارداد

تحلیل‌های اولیه نشان می‌دهد که پارامتر مربوط به اعشار در قرارداد OLPC حدود ۴۶ روز پیش از حمله، توسط مالک قرارداد از عدد ۱ به رقمی بسیار بزرگ تغییر یافته بود. این تغییر غیرعادی که پیش از سلب مالکیت قرارداد انجام شده، گمانه‌زنی‌ها درباره وجود یک «در پشتی» عمدی یا نقص طراحی طولانی‌مدت را تقویت کرده است.

در حال حاضر گزارشی مبنی بر انتقال وجوه به میکسر تورنادو کش یا جابه‌جایی دارایی‌ها گزارش نشده است.

افزایش آمار سرقت‌ها در فضای دیفای

با وقوع این حادثه، کل ارزش دارایی‌های مسروقه در ماه ژوئن بر اساس داده‌های دیفای لاما (DeFiLlama) به بیش از ۶۰ میلیون دلار رسید. این دوره با حملات سنگین دیگری نیز همراه بود؛ از جمله پروتکل هیومنیتی (Humanity Protocol) که متحمل خسارت ۳۲ میلیون دلاری شد و شبکه آزتک (Aztec Network) که شاهد تخلیه بیش از ۱,۱۵۸ اتریوم و مقادیر قابل‌توجهی استیبل کوین دای (DAI) بود.