Il protocollo LML di BSC colpito da un attacco di manipolazione dei prezzi da 950.000 USD

Un protocollo di staking sulla Binance Smart Chain (BSC) ha subito un grave exploit. L’attacco ha preso di mira il pool LML/USDT e ha causato perdite di circa 950.000 USD. La società di sicurezza BlockSec ha rilevato il problema attraverso il suo sistema di monitoraggio Phalcon. 

ALERT! Our system detected a suspicious exploit targeting an unknown contract, reportedly the LML/USDT staking protocol, on #BSC hours ago, resulting in an estimated loss of ~$950K.

While the victim contract is not open-source, our analysis suggests a likely pricing-design… pic.twitter.com/OaTK43MviV

— BlockSec Phalcon (@Phalcon_xyz) April 1, 2026

Le prime scoperte suggeriscono che l’attaccante ha utilizzato un trucco di manipolazione dei prezzi per drenare i premi dal protocollo LML della BSC. L’incidente si aggiunge a un elenco crescente di attacchi simili nel DeFi. Solleva anche nuove preoccupazioni su come alcuni protocolli gestiscono i prezzi e i premi.

Come ha funzionato l’attacco?

L’attaccante ha seguito un piano chiaro. Prima, ha aumentato il prezzo del token LML. Lo ha fatto effettuando grandi scambi nel pool di liquidità. Questo ha creato un picco temporaneo nel prezzo. Successivamente, ha utilizzato più wallet che avevano già depositato fondi nel protocollo LML della BSC. Questi wallet erano sotto il controllo dell’attaccante.

Poi, ha richiesto i premi di staking mentre il prezzo era ancora alto. Poiché i premi erano basati su questo prezzo gonfiato, il pagamento era molto più grande del normale. Infine, l’attaccante ha venduto i token a un prezzo più alto. Questo ha completato il ciclo e ha bloccato il profitto. In termini semplici, l’attaccante ha creato un prezzo falso, ha richiesto premi basati su di esso e poi ha incassato.

La principale vulnerabilità nel protocollo LML

Il problema principale derivava da come il protocollo LML della BSC calcolava i premi. Utilizzava un tipo di prezzo per i premi e un altro per le transazioni effettive. Più specificamente, i premi erano basati su uno snapshot o un prezzo medio. Ma l’attaccante ha venduto i token LML utilizzando il prezzo di mercato in tempo reale. Questa discrepanza ha creato un’opportunità. L’attaccante poteva gonfiare il prezzo live e comunque richiedere premi basati su calcoli obsoleti.

Grazie a questo divario, il sistema non è riuscito a proteggersi. Ha permesso all’attaccante di utilizzare entrambi i metodi di prezzo contemporaneamente. Gli esperti ritengono che migliori funzionalità di sicurezza avrebbero potuto prevenire questo. L’uso di oracoli di prezzo più robusti o controlli più rigorosi potrebbe ridurre tali rischi.

Perché questi attacchi continuano a verificarsi?

Gli attacchi di manipolazione dei prezzi non sono nuovi nel DeFi. Si verificano spesso quando i protocolli si affidano a sistemi di prezzo deboli. Molte piattaforme dipendono ancora dai prezzi dei pool di liquidità. Questi possono essere facilmente influenzati da grandi scambi o prestiti flash.

Senze adeguate protezioni, gli attaccanti possono ripetere strategie simili ancora e ancora. Infatti, diversi exploit di questo tipo sono stati segnalati negli ultimi mesi. Questo mostra un problema più grande nello spazio. Mentre il DeFi continua a crescere, il design della sicurezza spesso fatica a tenere il passo.

Cosa significa per gli utenti e i costruttori?

Per gli utenti, questo è un chiaro promemoria di rimanere cauti. Premi elevati possono talvolta comportare rischi nascosti. Per gli sviluppatori, il messaggio è ancora più chiaro. Sistemi di prezzo solidi non sono opzionali. Sono essenziali. I progetti devono utilizzare strumenti migliori, come prezzi basati sul tempo e oracoli sicuri. Devono anche testare i loro sistemi in condizioni estreme. 

Alla fine, questo attacco al protocollo LML della BSC non riguarda solo un protocollo. Riflette una sfida più ampia nel DeFi. Man mano che lo spazio cresce, cresce anche la necessità di una sicurezza più forte e intelligente.