Atak na pulę PancakeSwap: 1,1 mln USD strat, smart kontrakty bezpieczne

PancakeSwap potwierdził w piątek, że atak na jego pulę płynności OLPC/LABUBU doprowadził do strat rzędu 1,1 miliona dolarów – ale podstawowe smart kontrakty platformy pozostały nietknięte.

Zdecentralizowana giełda poinformowała na X, że jest świadoma doniesień dotyczących tej konkretnej puli. Wstępne dochodzenie nie wykazało luk w samym kodzie kontraktów PancakeSwap. Zespół oświadczył, że nadal bada incydent i przekaże więcej szczegółów, gdy będą dostępne, apelując do użytkowników, aby polegali wyłącznie na oficjalnych kanałach informacyjnych.

Firma zajmująca się bezpieczeństwem on-chain, PeckShield, jako pierwsza zgłosiła exploit. Według jej analizy atakujący opróżnił pulę płynności OLPC/LABUBU, a następnie przeniósł skradzione środki do sieci Ethereum. Stamtąd haker zdeponował 633,4 Ether w Tornado Cash – mikserze prywatności, który ukrywa ślady transakcji.

Naruszenie wydaje się ograniczone do pojedynczej puli strony trzeciej, a nie do luki w szerszej infrastrukturze PancakeSwap. To rozróżnienie ma znaczenie dla traderów, którzy blokują płynność na platformie. Gdyby exploit uderzył w kontrakty warstwy bazowej, zagrożona byłaby znacznie większa liczba pozycji.

Mimo to incydent ten dodaje kolejnej niepewności wokół pul DeFi opartych na BNB Chain. OLPC i LABUBU to relatywnie niszowe tokeny, a kwota 1,1 mln USD – choć skromna jak na standardy kradzieży w kryptowalutach – jest realną stratą dla dostawców płynności, którzy znaleźli się w ogniu ataku. Użycie miksera wskazuje również, że atakujący zamierza wypłacić środki bez pozostawiania łatwego śladu.

Na razie kluczowym elementem jest trwające dochodzenie PancakeSwap. Zespół nie powiedział, czy planuje zrekompensować straty poszkodowanym użytkownikom lub podjąć jakiekolwiek działania odzyskawcze. Traderzy powinni śledzić oficjalne konto giełdy na X oraz blog w oczekiwaniu na końcowy raport po incydencie. Do tego czasu wskazana jest ostrożność wobec pozycji w małych pulach.