Saltar al contenido
Est. MMXXVIVol. VI · № 300RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 297Fallo de smart contract

Exploit de desajuste de reservas OLPC/LABUBU de BnbLabubu

Un fallo de quema deflacionaria en el token OLPC creó un desajuste de reservas en un pool de PancakeSwap V2, permitiendo a un atacante comprar LABUBU a un precio distorsionado y drenar unos $1,1M.

Fecha
Víctima
BnbLabubu (OLPC/LABUBU pool)
Cadena(s)
BNB Chain
Estado
Fondos robados

El 20 de junio de 2026, el pool de liquidez OLPC/LABUBU en PancakeSwap V2 (BNB Chain) — parte del proyecto de meme-token BnbLabubu — fue drenado de aproximadamente 1,1 millones de dólares cuando un fallo de quema deflacionaria en el token OLPC creó un desajuste de reservas que el atacante explotó para comprar la totalidad del LABUBU del pool a un precio distorsionado.

Qué ocurrió

PancakeSwap V2 valora los pares de activos con una fórmula de producto constante (x·y=k) frente a reservas en caché que solo se sincronizan en swaps y mints. OLPC, sin embargo, era un token deflacionario cuya lógica _update() quemaba tokens en cada transferencia. Unos 46 días antes del ataque, el propietario de OLPC había cambiado el parámetro decimalsValue del token de 1 a un número enorme — un cambio que habilitaba quemas desproporcionadas — antes de renunciar a la propiedad. El atacante envió una pequeña transferencia al par que desencadenó la quema de unos 51,9 millones de OLPC y 124.000 LABUBU del pool hacia una dirección muerta, mientras que las reservas en caché del par permanecieron sin cambios. La brecha entre las reservas en caché y los saldos reales del pool creó una severa distorsión de precios, y el atacante compró el LABUBU restante con un fuerte descuento, convirtiendo el botín en aproximadamente 1.115.903 USDT.

Consecuencias

El atacante transfirió las ganancias a Ethereum y depositó unos 633 ETH en Tornado Cash, blanqueando los fondos; no se recuperó nada. PancakeSwap declaró que sus propios contratos inteligentes no tenían la culpa y que el problema provenía de la configuración del token OLPC, y afirmó que seguía investigando.

Por qué importa

El incidente es otro recordatorio de que los tokens fee-on-transfer y deflacionarios rompen la invariante central de los AMM: los pools de producto constante asumen que el balanceOf de un token equivale a las reservas en caché, y cualquier token que queme o rebase silenciosamente su saldo abre un ataque de desajuste de reservas — la misma clase que ha golpeado repetidamente a los pools de BNB Chain desde PancakeBunny. También muestra cómo un único parámetro favorable al atacante fijado antes de la renuncia a la propiedad (DIP Token) puede permanecer latente durante semanas antes de que alguien lo arme, y lo barata que sigue siendo la liquidez de meme-tokens, fácil de blanquear, como objetivo predilecto.

Fuentes y evidencia on-chain

  1. [01]ambcrypto.comhttps://ambcrypto.com/bnblabubu-exploit-drains-1-1mln-after-olpc-reserve-mismatch-details/
  2. [02]cryptotimes.iohttps://www.cryptotimes.io/2026/06/20/pancakeswap-labubu-pool-exploited-for-1-1m-what-went-wrong/
  3. [03]cryptonews.nethttps://cryptonews.net/news/security/33038552/
  4. [04]kucoin.comhttps://www.kucoin.com/news/flash/bnb-chain-olpc-labubu-pool-exploited-1-11m-stolen
  5. [05]fxdailyreport.comhttps://fxdailyreport.com/pancakeswap-olpc-labubu-pool-suffers-1-1-million-exploit/

Registros relacionados