BSC LML-protokoll rammet av $950K prismanipulasjonsangrep

Et staking-protokoll på Binance Smart Chain (BSC) har vært utsatt for et stort utnyttelse. Angrepet målrettet LML/USDT-poolen og forårsaket tap på omtrent $950 000. Sikkerhetsfirmaet BlockSec oppdaget problemet gjennom sitt Phalcon-overvåkningssystem. 

ALERT! Vårt system oppdaget et mistenkelig utnyttelse som målrettet et ukjent kontrakt, angivelig LML/USDT staking-protokollen, på #BSC for timer siden, noe som resulterte i et estimert tap på ~$950K.

Selv om offerkontrakten ikke er åpen kildekode, antyder vår analyse en sannsynlig prisdesign… pic.twitter.com/OaTK43MviV

— BlockSec Phalcon (@Phalcon_xyz) 1. april 2026

Tidlige funn antyder at angriperen brukte en prismanipulasjonstriks for å tømme belønninger fra BSCs LML-protokoll. Hendelsen legger til en voksende liste av lignende angrep i DeFi. Den reiser også nye bekymringer om hvordan noen protokoller håndterer prising og belønninger.

Hvordan fungerte angrepet?

Angriperen fulgte en klar plan. Først presset de opp prisen på LML-tokenet. Dette gjorde de ved å foreta store bytter i likviditetspoolen. Dette skapte en midlertidig prisoppgang. Deretter brukte de flere lommebøker som allerede hadde satt inn midler i BSCs LML-protokoll. Disse lommebøkene var under angriperens kontroll.

Så krevde de staking-belønninger mens prisen fortsatt var høy. Siden belønningene var basert på denne oppblåste prisen, var utbetalingen mye større enn normalt. Til slutt solgte angriperen tokenene til en høyere pris. Dette fullførte syklusen og låste inn fortjeneste. Enkelt sagt, angriperen skapte en falsk pris, krevde belønninger basert på den og tok deretter ut penger.

Den viktigste svakheten i LML-protokollen

Hovedproblemet kom fra hvordan BSCs LML-protokoll beregnet belønninger. Den brukte én type pris for belønninger og en annen for faktiske handler. Mer spesifikt var belønningene basert på et øyeblikksbilde eller gjennomsnittlig pris. Men angriperen solgte LML-tokenene ved å bruke den sanntids markedsprisen. Denne mismatchet skapte en mulighet. Angriperen kunne oppblåse den live prisen og fortsatt kreve belønninger basert på utdaterte beregninger.

På grunn av dette gapet klarte ikke systemet å beskytte seg selv. Det tillot angriperen å bruke begge prismetodene samtidig. Eksperter mener at bedre sikkerhetsfunksjoner kunne ha forhindret dette. Slike som å bruke sterkere pris-orakler eller strengere kontroller kunne redusere slike risikoer.

Hvorfor skjer disse angrepene stadig?

Prismanipulasjonsangrep er ikke nye i DeFi. De skjer ofte når protokoller er avhengige av svake prissystemer. Mange plattformer er fortsatt avhengige av likviditetspoolpriser. Disse kan lett påvirkes med store handler eller flash-lån.

Uten ordentlige beskyttelser kan angripere gjenta lignende strategier gang på gang. Faktisk har flere slike utnyttelser blitt rapportert de siste månedene. Dette viser et større problem i rommet. Mens DeFi fortsetter å vokse, sliter ofte sikkerhetsdesignet med å holde tritt.

Hva dette betyr for brukere og utviklere?

For brukere er dette en påminnelse om å være forsiktige. Høye belønninger kan noen ganger komme med skjulte risikoer. For utviklere er meldingen enda klarere. Sterke prissystemer er ikke valgfrie. De er essensielle. Prosjekter må bruke bedre verktøy, som tidsbasert prising og sikre orakler. De må også teste systemene sine under ekstreme forhold. 

Til slutt handler dette BSCs LML-protokollangrep ikke bare om én protokoll. Det reflekterer en bredere utfordring i DeFi. Etter hvert som rommet vokser, vokser også behovet for sterkere og smartere sikkerhet.