Aller au contenu
Fondé MMXXVIVol. VI · № 300RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 297Bug de smart contract

Exploit de décalage de réserves OLPC/LABUBU de BnbLabubu

Une faille de burn d'OLPC a créé un décalage de réserves sur un pool PancakeSwap V2 ; l'attaquant a racheté le LABUBU à prix faussé et drainé environ 1,1 M$.

Date
Victime
BnbLabubu (OLPC/LABUBU pool)
Chaîne(s)
BNB Chain
Statut
Fonds dérobés

Le 20 juin 2026, le pool de liquidité OLPC/LABUBU sur PancakeSwap V2 (BNB Chain) — qui fait partie du projet de meme-token BnbLabubu — a été drainé d'environ 1,1 million de dollars lorsqu'une faille de burn déflationniste du token OLPC a créé un décalage de réserves que l'attaquant a exploité pour racheter la totalité du LABUBU du pool à un prix faussé.

Ce qui s'est passé

PancakeSwap V2 valorise les paires d'actifs via une formule à produit constant (x·y=k) en s'appuyant sur des réserves en cache qui ne sont synchronisées que lors des swaps et des mints. OLPC était toutefois un token déflationniste dont la logique _update() brûlait des tokens à chaque transfert. Environ 46 jours avant l'attaque, le propriétaire d'OLPC avait fait passer le paramètre decimalsValue du token de 1 à un nombre énorme — un changement qui permettait des burns démesurés — avant de renoncer à la propriété. L'attaquant a envoyé un petit transfert dans la paire, ce qui a déclenché le burn d'environ 51,9 millions d'OLPC et 124 000 LABUBU du pool vers une adresse morte, tandis que les réserves en cache de la paire restaient inchangées. L'écart entre les réserves en cache et les soldes réels du pool a créé une forte distorsion de prix, et l'attaquant a racheté le LABUBU restant à fort rabais, convertissant le butin en environ 1 115 903 USDT.

Conséquences

L'attaquant a transféré les gains vers Ethereum et déposé environ 633 ETH dans Tornado Cash, blanchissant les fonds ; rien n'a été récupéré. PancakeSwap a déclaré que ses propres contrats intelligents n'étaient pas en cause et que le problème provenait de la configuration du token OLPC, et a indiqué poursuivre son enquête.

Pourquoi c'est important

L'incident rappelle une fois de plus que les tokens fee-on-transfer et déflationnistes brisent l'invariant fondamental des AMM : les pools à produit constant supposent que le balanceOf d'un token est égal aux réserves en cache, et tout token qui brûle ou rebase silencieusement son solde ouvre une attaque par décalage de réserves — la même classe qui frappe régulièrement les pools de BNB Chain depuis PancakeBunny. Il montre aussi comment un seul paramètre favorable à l'attaquant, fixé avant la renonciation à la propriété (DIP Token), peut rester dormant pendant des semaines avant que quelqu'un ne l'arme, et à quel point la liquidité des meme-tokens, facile à blanchir, reste une cible de choix.

Sources & preuves on-chain

  1. [01]ambcrypto.comhttps://ambcrypto.com/bnblabubu-exploit-drains-1-1mln-after-olpc-reserve-mismatch-details/
  2. [02]cryptotimes.iohttps://www.cryptotimes.io/2026/06/20/pancakeswap-labubu-pool-exploited-for-1-1m-what-went-wrong/
  3. [03]cryptonews.nethttps://cryptonews.net/news/security/33038552/
  4. [04]kucoin.comhttps://www.kucoin.com/news/flash/bnb-chain-olpc-labubu-pool-exploited-1-11m-stolen
  5. [05]fxdailyreport.comhttps://fxdailyreport.com/pancakeswap-olpc-labubu-pool-suffers-1-1-million-exploit/

Dépôts liés