PANews 6월 20일 소식, 슬로우미스트 보안 창립자 위셴(Yu Xian)이 BNB Chain PancakeSwap OLPC/LABUBU 유동성 풀 탈취 사건에 대한 분석글을 게재하며, 이번 공격에 여러 인위적 의심 정황이 존재한다고 지적했다.

이번 풀 탈취의 근본 원인은 OLPC 토큰 컨트랙트에 존재하는 악용 가능한 로직 취약점이다. 컨트랙트의 _update 함수는 특정 조건 충족 시 value * decimalsValue 수량의 OLPC 토큰을 소각할 수 있다. 정상적인 경우 decimalsValue 기본값은 1이지만, 해당 토큰 소유자(owner)가 공격 발생 약 46일 전에 이 매개변수를 7326680472586200649라는 초대형 수치로 악의적으로 변경했다. 변경 완료 며칠 후, 프로젝트 측은 컨트랙트 소유자(owner) 관리자 권한을 직접 폐기하여 권한이 0 주소로 귀속되었다.

매개변수가 조작된 후, OLPC와 LABUBU 거래쌍의 자금 비율이 심각하게 불균형해졌다. 공격자는 왜곡된 decimalsValue 수치를 이용해 풀의 준비금 소각 로직을 작동시켰으며, 소량의 OLPC만 투입하여 풀 내 대량의 LABUBU를 교환한 뒤 최종적으로 현금화하여 총 111.5만 USDT 상당의 자금을 빼돌렸다.