Le siphon de 1,1 million de dollars du pool LABUBI sur PancakeSwap était une bombe à retardement de 46 jours. Les signes on-chain étaient visibles

— By Tony Rabbit in News

Le siphon de 1,1 million de dollars du pool LABUBI sur PancakeSwap était une bombe à retardement de 46 jours. Les signes on-chain étaient visibles

Le pool LABUBI sur PancakeSwap a perdu environ 1,1 million de dollars le 20 juin, mais il ne s'agissait pas d'un exploit de prêt flash. Les données on-chain révèlent qu'un paramètre de contrat mutable a été modifié des semaines auparavant et qu'une renonciation de propriété l'a verrouillé. Voici comment cela a fonctionné, et pourquoi les signes avant-coureurs étaient visibles avant le siphon.

Le 20 juin, la paire de trading OLPC et LABUBI sur PancakeSwap V2, fonctionnant sur la BNB Chain, a été vidée d'environ 1,1 million de dollars, l'attaquant convertissant les fonds en environ 1 115 903 USDT. Selon l'analyse on-chain circulant après l'incident, les fonds ont ensuite été transférés de la BNB Chain vers Ethereum et 633,4 ETH ont été déposés dans Tornado Cash. Le montant principal est ordinaire selon les standards de 2026. Ce qui rend cette affaire digne d'un examen attentif, c'est qu'il ne s'agissait pas d'un exploit soudain d'un bug caché. C'était une configuration lente et préméditée, cachée à la vue de tous.

Un paramètre modifié 46 jours avant l'attaque

Le mécanisme reposait sur une seule valeur mutable dans le contrat du token OLPC. Environ 46 jours avant le siphon, le propriétaire du contrat a augmenté un paramètre interne, signalé comme decimalsValue, de sa valeur normale de 1 à un nombre énorme, 7326680472586200649. Ce changement a discrètement amplifié le nombre de tokens brûlés lors des opérations ordinaires. Lorsqu'il a finalement été déclenché, l'analyse décrit une combustion anormale d'environ 51,9 millions de tokens OLPC et 124 000 tokens LABUBI vers une adresse morte. Cette combustion a faussé les réserves du pool, et l'attaquant est intervenu pour exploiter le déséquilibre.

Le détail qui transforme un bug en plan est ce qui a suivi. Après avoir configuré le paramètre malveillant, le propriétaire a renoncé à la propriété du contrat. La renonciation est généralement présentée comme un signal de confiance, prouvant que personne ne peut plus changer les règles. Ici, elle a fait le contraire : elle a verrouillé la bombe à retardement et rendu toute annulation impossible.

Pourquoi c'est une histoire de détection, pas seulement une histoire de hack

La plupart des couvertures d'exploits s'arrêtent à la perte. Le point le plus utile pour quiconque échange de nouveaux tokens est que le danger était structurel et observable. Un contrat de token qui permet au déployeur de modifier un paramètre affectant l'approvisionnement est un risque permanent, peu importe à quel point le graphique semble calme. Une renonciation de propriété qui survient après un changement suspect n'est pas une réassurance, c'est un verrou sur ce qui a été mis en place auparavant. Ces deux éléments sont exactement le genre de signaux qu'un audit de contrat automatisé est conçu pour détecter.

C'est pourquoi nous publions le Rug and Scam Rate Index, qui suit la proportion de tokens récemment lancés portant un drapeau de sécurité critique, et pourquoi le statut de propriété est l'un des champs qu'il rapporte. Dans la dernière lecture en direct, une grande majorité des tokens récents n'ont pas encore renoncé à la propriété, ce qui signifie que le déployeur conserve le contrôle, la condition préalable à ce type de configuration. Le statut de renonciation seul n'est jamais l'histoire complète, comme le montre le cas LABUBI, mais combiné à une autorité de mint ou de burn mutable, c'est l'un des voyants d'avertissement les plus clairs sur un contrat.

Comment vérifier avant d'être la liquidité de sortie

Vous ne pouvez pas lire le code Solidity de chaque token que vous utilisez, mais vous pouvez effectuer les vérifications importantes en moins d'une minute. Passez n'importe quel contrat par le DEXTools Token Safety Checker pour voir son statut de honeypot, de mint et de propriété. Surveillez les contrats où le propriétaire peut encore modifier le comportement de l'approvisionnement, et considérez une renonciation de propriété récente comme une question à investiguer plutôt qu'un feu vert. Notre guide sur comment repérer un rug pull passe en revue la liste de contrôle manuelle complète, et liquidity pull versus slow rug couvre la différence entre un siphon soudain et un siphon patient comme celui-ci.

Le siphon LABUBI est un rappel que les contrats les plus dangereux ne sont pas toujours ceux qui semblent défectueux aujourd'hui. Parfois, ce sont ceux qui ont été discrètement armés il y a des semaines. Cet article est à titre informatif uniquement et ne constitue pas un conseil financier.