Um pool OLPC/LABUBU na PancakeSwap V2, dentro da BNB Chain, foi explorado em cerca de US$ 1,1 milhão. A PancakeSwap disse que sua investigação inicial não encontrou falhas nos contratos da própria plataforma, enquanto analistas apontam para uma distorção no token OLPC e movimentação de fundos para Ethereum e Tornado Cash.
Um pool OLPC/LABUBU negociado na PancakeSwap V2, na BNB Chain, foi drenado em aproximadamente US$ 1,1 milhão em 20 de junho, segundo alertas de empresas de segurança e análises on-chain. O caso chama atenção porque a PancakeSwap afirmou que, em sua checagem inicial, não identificou vulnerabilidade nos contratos inteligentes da própria plataforma.
Na prática, o episódio parece reforçar um ponto importante para usuários de DeFi: mesmo quando a infraestrutura principal de uma DEX não é o alvo direto, pools com tokens menores podem carregar riscos próprios de contrato, liquidez e desenho econômico. Para quem opera em pares de baixa liquidez, a diferença entre “protocolo seguro” e “ativo seguro” continua sendo essencial.
O que aconteceu no pool OLPC/LABUBU
De acordo com a PeckShield, o pool OLPC/LABUBU na PancakeSwap, dentro da BNB Chain, sofreu uma exploração estimada em US$ 1,1 milhão. A firma apontou que o explorador transferiu os fundos para a Ethereum, depositou cerca de 633,4 ETH no Tornado Cash e enviou pequenas quantias de BNB e ETH para um endereço morto.
https://x.com/PeckShieldAlert/status/2068314444422402515
A ExVul, outra empresa de segurança, descreveu o caso como um dreno em um pool PancakeSwap V2 pareado entre OLPC e LABUBU. Segundo a análise, o atacante teria usado uma interação pequena com OLPC para acionar uma reação desproporcional no par, criando um desequilíbrio entre os saldos reais e as reservas usadas pelo mecanismo de formador automático de mercado.
Em termos simples, o pool passou a precificar os ativos como se ainda tivesse uma composição de reservas diferente da realidade. Essa distorção teria permitido ao atacante comprar ou retirar LABUBU a um preço artificialmente favorável, converter os ativos e sair com valor próximo de 1,1 milhão de USDT.
PancakeSwap nega falha nos próprios contratos
A PancakeSwap publicou que estava ciente dos relatos sobre o pool OLPC/LABUBU na BNB Chain e afirmou que sua investigação inicial não encontrou problemas nos contratos inteligentes da própria PancakeSwap. A equipe disse que continuaria apurando o caso e pediu que usuários acompanhassem apenas canais oficiais.
https://x.com/PancakeSwap/status/2068327467664949643
Essa distinção importa. Em uma DEX, o contrato do protocolo pode funcionar como desenhado, mas um token listado em um pool pode conter regras próprias, como funções de queima, taxas, permissões ou parâmetros alteráveis. Se essas regras interagem mal com o AMM, a liquidez do par pode ser afetada sem que o contrato central da DEX tenha sido comprometido.
O caso lembra outros episódios recentes em que a perda veio de lógica de contrato, integração ou token, não de uma quebra direta da blockchain. Como o CriptoBR mostrou na matéria sobre hacks em DeFi e falhas em bridges, ataques desse tipo costumam explorar pontos específicos da pilha, onde protocolos, pontes e tokens se conectam.
Suspeita recai sobre desenho do token OLPC
Analistas citados pela Crypto Times e pelo PANews apontaram uma possível origem no contrato do OLPC. A hipótese é que uma função ligada a queima de tokens teria sido combinada a um parâmetro anormalmente alto, o que ampliou o impacto de uma transferência pequena e afetou o saldo real do pool.
Uma leitura compartilhada por Yu Xian, fundador da SlowMist, também tratou o episódio como suspeito e ligado a uma modificação prévia em parâmetro do token. Segundo essa interpretação, a mudança teria ocorrido semanas antes da exploração e depois o controle do contrato teria sido renunciado, dificultando correções posteriores. Até o momento, a apuração pública ainda não fechou uma causa definitiva.
Para usuários, a lição é menos sobre PancakeSwap em si e mais sobre o risco dos pares pequenos. Pools com tokens de baixa capitalização, regras deflacionárias ou contratos pouco auditados podem gerar perdas mesmo quando negociados dentro de uma DEX conhecida. O mesmo alerta apareceu em casos como o exploit de US$ 7,3 milhões na DxSale na BNB Chain, em que a investigação também passou por pontos específicos de contrato e operação.
BNB Chain segue atraindo liquidez e riscos
A BNB Chain continua sendo uma das redes mais movimentadas para trading on-chain, memecoins e pools de liquidez de varejo. Esse volume ajuda a explicar por que incidentes em pares menores ganham tração rápida: há liquidez, usuários ativos e uma rotação constante de novos tokens.
Ao mesmo tempo, o ambiente exige filtros mais duros. Antes de entrar em pools novos, o usuário precisa olhar contrato do token, permissões de owner, histórico de mudanças, liquidez travada, distribuição de holders e alertas de empresas de segurança. Em tokens com mecânicas de queima ou taxas dinâmicas, a análise precisa ser ainda mais cuidadosa.
A PancakeSwap ainda não publicou um relatório final sobre o OLPC/LABUBU. Até lá, o ponto mais concreto é que a própria DEX afirma não ter encontrado falha em seus contratos, enquanto rastreadores e firmas de segurança seguem tratando a perda como um exploit ligado à interação entre o token e o pool. Para o investidor comum, isso basta para reforçar uma regra básica: a reputação da plataforma não elimina o risco do ativo listado nela.
O episódio também se encaixa em uma sequência maior de incidentes em DeFi. Como reportamos no alerta sobre falhas operacionais que levaram a perdas milionárias, o mercado segue evoluindo em segurança, mas a superfície de ataque cresce junto com novas integrações, pools e tokens de nicho.
Oliver Andrade é jornalista, empreendedor e uma das vozes mais ativas do ecossistema cripto brasileiro. Aos 32 anos, casado e pai, concilia a vida pessoal com uma trajetória intensa no mercado de ativos digitais que começou em 2020 — quando...
