Der $1.1M PancakeSwap LABUBI-Abzug war eine 46-Tage-Zeitbombe. Die On-Chain-Anzeichen waren vorhanden
— By Tony Rabbit in News

Der LABUBI-Pool auf PancakeSwap verlor am 20. Juni etwa 1,1 Millionen Dollar, doch dies war kein Flash-Loan-Zero-Day. On-Chain-Daten zeigen, dass ein veränderbarer Vertragsparameter Wochen zuvor geändert wurde und eine Eigentumsaufgabe dies festschrieb. Hier erfahren Sie, wie es funktionierte und warum die Warnzeichen vor dem Abzug sichtbar waren.
Am 20. Juni wurde das Handelspaar OLPC und LABUBI auf PancakeSwap V2, das auf der BNB Chain läuft, um etwa 1,1 Millionen Dollar geleert, wobei der Angreifer die Erlöse in etwa 1.115.903 USDT umwandelte. Laut der nach dem Vorfall zirkulierenden On-Chain-Analyse wurden die Gelder dann von der BNB Chain zu Ethereum überbrückt und 633.4 ETH in Tornado Cash eingezahlt. Die Schlagzeilenzahl ist nach den Standards von 2026 gewöhnlich. Was diesen Fall genauer betrachtetenswert macht, ist, dass es sich nicht um einen plötzlichen Exploit eines versteckten Fehlers handelte. Es war ein langsamer, vorsätzlicher Aufbau, der sich offen verbarg.
Ein Parameter wurde 46 Tage vor dem Angriff geändert
Der Mechanismus beruhte auf einem einzigen veränderbaren Wert im OLPC-Token-Vertrag. Etwa 46 Tage vor dem Abzug erhöhte der Vertragsinhaber einen internen Parameter, der als decimalsValue gemeldet wurde, von seinem normalen Wert von 1 auf eine enorme Zahl, 7326680472586200649. Diese Änderung verstärkte stillschweigend, wie viele Token während gewöhnlicher Operationen verbrannt wurden. Als sie schließlich ausgelöst wurde, beschreibt die Analyse eine abnormale Verbrennung von etwa 51,9 Millionen OLPC- und 124.000 LABUBI-Token an eine tote Adresse. Diese Verbrennung verzerrte die Poolreserven, und der Angreifer nutzte das Ungleichgewicht aus.
Das Detail, das einen Fehler in einen Plan verwandelt, war das, was als Nächstes kam. Nach der Einrichtung des bösartigen Parameters verzichtete der Eigentümer auf das Eigentum am Vertrag. Der Verzicht wird normalerweise als Vertrauenssignal vermarktet, als Beweis dafür, dass niemand die Regeln mehr ändern kann. Hier bewirkte er das Gegenteil: Er fixierte die Zeitbombe und machte jede Umkehrung unmöglich.
Warum dies eine Detektionsgeschichte und nicht nur eine Hack-Geschichte ist
Die meisten Berichte über Exploits enden beim Verlust. Der nützlichere Punkt für jeden, der mit neuen Token handelt, ist, dass die Gefahr strukturell und beobachtbar war. Ein Token-Vertrag, der es dem Bereitsteller ermöglicht, einen die Versorgung beeinflussenden Parameter zu ändern, stellt ein dauerhaftes Risiko dar, egal wie ruhig das Diagramm aussieht. Ein Eigentumsverzicht, der nach einer verdächtigen Änderung erfolgt, ist keine Beruhigung, sondern eine Fixierung dessen, was zuvor eingerichtet wurde. Beides sind genau die Art von Signalen, die ein automatisches Vertragsaudit aufdecken soll.
Deshalb veröffentlichen wir den Rug and Scam Rate Index, der verfolgt, welcher Anteil der kürzlich eingeführten Token ein kritisches Sicherheitskennzeichen trägt, und warum der Eigentumsstatus eines der Felder ist, die er meldet. In der neuesten Live-Lesung hat eine große Mehrheit der neueren Token das Eigentum überhaupt noch nicht aufgegeben, was bedeutet, dass der Bereitsteller die Kontrolle behält, die Voraussetzung für genau diese Art von Einrichtung. Der Verzichtstatus allein ist nie die ganze Geschichte, wie der LABUBI-Fall zeigt, aber in Kombination mit einer veränderbaren Präge- oder Verbrennungsautorität ist er eines der klarsten Warnsignale bei einem Vertrag.
Wie Sie prüfen können, bevor Sie zur Exit-Liquidität werden
Sie können nicht bei jedem Token, den Sie anfassen, Solidity lesen, aber Sie können die wichtigen Prüfungen in weniger als einer Minute durchführen. Führen Sie jeden Vertrag durch den DEXTools Token Safety Checker, um seinen Honeypot-, Präge- und Eigentumsstatus zu sehen. Achten Sie auf Verträge, bei denen der Eigentümer das Angebotsverhalten noch ändern kann, und behandeln Sie einen kürzlichen Eigentumsverzicht eher als eine zu untersuchende Frage denn als grünes Licht. Unser Leitfaden wie man einen Rug Pull erkennt führt durch die vollständige manuelle Checkliste, und Liquiditätsentzug versus langsamer Rug behandelt den Unterschied zwischen einem plötzlichen Abzug und einem geduldigen wie diesem.
Der LABUBI-Abzug ist eine Erinnerung daran, dass die gefährlichsten Verträge nicht immer diejenigen sind, die heute kaputt aussehen. Manchmal sind es diejenigen, die vor Wochen stillschweigend bewaffnet wurden. Dieser Artikel dient nur zu Informationszwecken und stellt keine Finanzberatung dar.