El drenaje de $1.1M de LABUBI en PancakeSwap fue una bomba de relojería de 46 días. Las señales en la cadena estaban ahí
— By Tony Rabbit in News

El pool de LABUBI en PancakeSwap perdió aproximadamente 1.1 millones de dólares el 20 de junio, pero esto no fue un ataque de día cero por préstamo flash. Los datos en la cadena muestran que un parámetro de contrato mutable cambió semanas antes y una renuncia de propiedad que lo bloqueó. Así es como funcionó y por qué las señales de advertencia eran visibles antes del drenaje.
El 20 de junio, el par de trading OLPC y LABUBI en PancakeSwap V2, funcionando en BNB Chain, fue drenado de aproximadamente 1.1 millones de dólares, con el atacante convirtiendo las ganancias en aproximadamente 1,115,903 USDT. Según el análisis en la cadena que circuló después del incidente, los fondos fueron luego puenteados de BNB Chain a Ethereum y 633.4 ETH fueron depositados en Tornado Cash. La cifra principal es ordinaria para los estándares de 2026. Lo que hace que este caso merezca un examen detenido es que no fue un exploit repentino de un error oculto. Fue una configuración lenta y premeditada que se ocultaba a plena vista.
Un parámetro cambió 46 días antes del ataque
El mecanismo se redujo a un único valor mutable en el contrato del token OLPC. Aproximadamente 46 días antes del drenaje, el propietario del contrato aumentó un parámetro interno, reportado como decimalsValue, de su valor normal de 1 a un número enorme, 7326680472586200649. Ese cambio amplificó silenciosamente cuántos tokens se quemaron durante las operaciones ordinarias. Cuando finalmente se activó, el análisis describe una quema anormal de aproximadamente 51.9 millones de OLPC y 124,000 tokens LABUBI a una dirección muerta. Esa quema distorsionó las reservas del pool, y el atacante intervino para explotar el desequilibrio.
El detalle que convierte un error en un plan es lo que vino después. Después de configurar el parámetro malicioso, el propietario renunció a la propiedad del contrato. La renuncia se suele comercializar como una señal de confianza, prueba de que nadie puede cambiar las reglas. Aquí hizo lo contrario: bloqueó la bomba de relojería y hizo imposible cualquier reversión.
Por qué esta es una historia de detección, no solo una historia de hackeo
La mayoría de las coberturas de exploits se detienen en la pérdida. El punto más útil para cualquiera que opere con nuevos tokens es que el peligro era estructural y observable. Un contrato de token que permite al implementador cambiar un parámetro que afecta el suministro es un riesgo constante, sin importar cuán tranquila parezca la gráfica. Una renuncia de propiedad que ocurre después de un cambio sospechoso no es una garantía, es un bloqueo de lo que se configuró de antemano. Ambas son exactamente el tipo de señales que una auditoría de contrato automatizada está diseñada para detectar.
Por eso publicamos el Rug and Scam Rate Index, que rastrea qué parte de los tokens lanzados recientemente llevan una bandera de seguridad crítica, y por qué el estado de propiedad es uno de los campos que informa. En la última lectura en vivo, una gran mayoría de los tokens recientes aún no han renunciado a la propiedad en absoluto, lo que significa que el implementador retiene el control, la condición previa para exactamente este tipo de configuración. El estado de renuncia por sí solo nunca es toda la historia, como muestra el caso LABUBI, pero combinado con la autoridad mutable de acuñación o quema, es una de las luces de advertencia más claras en un contrato.
Cómo verificar antes de ser la liquidez de salida
No puedes leer Solidity en cada token que tocas, pero puedes ejecutar las verificaciones importantes en menos de un minuto. Pasa cualquier contrato por el Token Safety Checker de DEXTools para ver su estado de honeypot, acuñación y propiedad. Busca contratos donde el propietario aún pueda cambiar el comportamiento del suministro, y trata una renuncia de propiedad reciente como una pregunta a investigar en lugar de una luz verde. Nuestra guía sobre cómo detectar un rug pull recorre la lista de verificación manual completa, y liquidity pull versus slow rug cubre la diferencia entre un drenaje repentino y uno paciente como este.
El drenaje de LABUBI es un recordatorio de que los contratos más peligrosos no siempre son los que parecen rotos hoy. A veces son los que fueron armados silenciosamente semanas atrás. Este artículo es solo informativo y no constituye asesoramiento financiero.