2026 年 6 月 20 日,BNB Chain 上的 PancakeSwap 再次被推上风口浪尖:据 PeckShield 等安全机构披露,其 OLPC/LABUBU 流动性池遭遇黑客攻击,约 110 万美元资产被从池中抽离并迅速集中到攻击者控制地址。更具戏剧性的是,攻击者并未在 BNB Chain 久留,而是按照近年来 DeFi 攻击的“标准剧本”,在事件发生后不久就将主要赃款跨链转移至以太坊网络。派盾追踪到,跨链完成后,攻击者向以太坊上的 Tornado Cash 合约地址存入了 633.4 枚 ETH,试图通过这一隐私混币协议切断资金来源与去向之间的链上关联。Tornado Cash 曾因被广泛用于洗钱而遭美国监管部门制裁,如今再次出现在攻击路径上,让“安全追踪”与“隐私保护”之间的张力被放到放大镜下。PancakeSwap 作为 BNB Chain 上头部去中心化交易平台,此前就因闪电贷与合约风险多次被讨论,如今其流动性池再度失守,而赃款顺势流入被制裁的隐私协议,构成了一场典型的链上“猫鼠游戏”,也让 DeFi 协议安全的薄弱环节与隐私工具的两面性在同一条资金路径上被同时暴露。
OLPC池被抽空:PancakeSwap再遭重击
这一次出问题的,并不是整个 PancakeSwap 协议停摆,而是一个看似不起眼的角落——BNB Chain 上 OLPC/LABUBU 交易对的流动性池被精准锁定。据 PeckShield 报告披露,约 110 万美元等值资产在短时间内被从该池“抽干”,流入攻击者控制地址,其它主流交易对和功能当时仍保持正常运行,用户界面上只是多了一个价格异动、流动性骤降的池子,却在链上撕开了一个不小的窟窿。
从当前公开信息看,攻击者疑似围绕价格机制或合约逻辑做文章,通过一系列复杂操作,将池内流动性大量搬空,但具体攻击路径和技术细节尚未被完全披露,任何“定性”为单一合约漏洞或单纯价格操纵的判断都仍需审慎对待。问题在于,这已经不是 PancakeSwap 第一次被卷入与闪电贷、智能合约设计相关的安全事件。作为 BNB Chain 上体量和用户数领先的去中心化交易平台,它每一次局部池子的失守都会被放大为对整体协议安全性的质疑,久而久之,用户对其“是否真的补上了老漏洞、是否还能承载庞大资产”的不安正在链上事件的叠加中持续累积。
跨链逃离BNB链:资金涌向以太坊
池子资产被抽干后,攻击者并没有在 BNB Chain 上久留。根据 PeckShield 与派盾披露的链上记录,约 110 万美元规模的被盗资产在短时间内被迅速归集到少数攻击者控制地址,随后通过跨链协议被转移至以太坊网络。对攻击者而言,从事发链跳转到另一条主流公链,一方面是在物理上“远离” PancakeSwap 这一初始攻击场景,另一方面也是将筹码置入体量更大、交易更繁杂的环境中,为接下来在以太坊上进一步处理甚至混币做准备。
放在近一两年 DeFi 与跨链桥频繁遇袭的背景下,这次操作几乎是教科书式的复刻:完成首个攻击动作后,优先将筹码从原始链迁出,借助跨链“跳板”规避单链监控工具的重点盯防。然而,无论跨了多少条链,这些迁移依旧完整写入各自的区块链账本,从 BNB Chain 上 PancakeSwap 流动性池的异常流出,到以太坊网络上的跨链到账时间、目标地址,都被一一记录,为安全机构还原攻击路径、锁定关键地址提供了必要的基础数据。
633枚ETH涌入Tornado Cash隐私池
跨链资金在以太坊落地后,攻击者没有停留太久。根据 PeckShield 与派盾披露的链上信息,控制被盗资产的地址很快将其中的 633.4 枚 ETH 直接存入 Tornado Cash 合约。对于熟悉这类攻击路径的人来说,这一步几乎是“教科书式操作”——资金在公开链上完成聚合与跨链迁移后,立刻被推入一个专门为打散、重组资金流向而设计的隐私池,试图在这里切断追踪者已经梳理出的完整资金链条。
Tornado Cash 本身只是部署在以太坊上的去中心化混币协议,它通过将多用户的存款混合,在一段时间后重新提供对应面额的提取权,从而模糊“哪一笔钱来自哪个地址”的直接关联。这一机制一方面为普通用户在链上保护财务隐私提供了工具,另一方面也在多起历史黑客事件中被反复滥用为洗钱出口,最终引来美国监管部门的制裁,将部分相关合约地址列入黑名单。然而,合约一旦部署上链便难以被单方面下线,本次 633.4 枚 ETH 的涌入再次说明,在隐私需求、技术中立与合规约束之间,Tornado Cash 仍被攻击者视作可以利用的灰色空间,而这一拉扯短期内并不会自动消失。
安全公司追踪:透明链上与黑客周旋
就在资金涌向这片灰色地带的同时,防守方也没有缺席。PeckShield 在 PancakeSwap 的 OLPC/LABUBU 流动性池出现异常大额流出时迅速介入,通过比对历史资金规模和交易频率,锁定了触发约 110 万美元资产被转出的关键攻击交易,并第一时间对外发出预警,提示相关地址与合约交互存在高风险。几乎同步地,派盾等安全团队也盯上了同一批可疑交易,将攻击者在 BNB Chain 上的收款地址标记出来,为后续的跨链路径追踪预先打下锚点。
攻击并未在 BNB Chain 上画句号。根据派盾披露的链上分析,安全团队沿着这批可疑地址一路跟踪,记录下被盗资产跨链抵达以太坊的时间与数量,最终确认其中 633.4 枚 ETH 流入以太坊上的 Tornado Cash 合约。通过串联 BNB Chain 与以太坊两条链上的转账记录,他们将黑客从流动性池到跨链桥、再到隐私协议的完整资金路径公开给市场,让后续任何与这些地址发生交互的行为都暴露在聚光灯下。不过,公有链再透明,地址与现实身份之间仍缺乏直接绑定,除非黑客在场外留下可被利用的线索,否则这种“看得见资金、摸不着真人”的对峙状态将在相当长一段时间内持续存在,而这恰恰是攻防双方都难以绕开的现实。
BNB生态阴影:PancakeSwap安全问号
在 BNB Chain 上,PancakeSwap 不只是一个普通 DEX,它几乎等同于这条链的 DeFi 门面:交易量、用户活跃度都处在前列,许多普通用户的资金首次接触链上金融,就是通过它完成。也正因为这种枢纽地位,当 2026 年 6 月 20 日 OLPC/LABUBU 流动性池被黑客掏空约 110 万美元时,受到冲击的不仅是单一池子的 LP,而是外界对整条 BNB 生态安全画像的再评估。BNB 生态过去已经出现过多起 DeFi 安全事故,此番又轮到头部协议“失守”,在链上资金被一步步跨链、混币的过程中,市场更容易形成一种直观印象:哪怕是体量最大的协议,也难以完全挡住有针对性的攻击。
对 PancakeSwap 本身而言,这并非第一次被卷入安全风波。历史上围绕闪电贷、智能合约漏洞的攻击,早已让它处在放大镜之下,头部协议一边扩展业务线、增加交易对和策略玩法,一边要维持代码与风控的高压稳态,每一次迭代都在拉长潜在的攻击面。截至目前公开报道,对于本次 OLPC/LABUBU 池被攻击的具体技术成因,以及后续资金追回与用户补偿安排,尚未有足够详尽的披露,外界难以判断问题究竟出在单一合约逻辑、业务设计,还是更底层的安全流程,这种信息缺口本身,就在 BNB 生态上空悬了一枚尚未拆除的安全问号。
DeFi安全与隐私的拉锯战将走向何方
从 OLPC/LABUBU 池子在 BNB Chain 上被抽干,再到被盗资产跨链迁往以太坊、最终 633.4 枚 ETH 落入 Tornado Cash,这起约 110 万美元的攻击全程裸露在公开链上,却仍然在身份、追赃和责任认定上留下大片空白,这正是开放金融当下最尖锐的矛盾:极高的可组合性和迭代速度,让 PancakeSwap 这类头部 DEX 得以快速扩张,也在过去几年反复贡献上千万乃至上亿美元级别的攻击样本,而安全体系的滞后则被一次次放大。Tornado Cash 之类隐私协议在技术上难以被简单关停,它们一端承接了合法的匿名需求,另一端又被黑客用来切断资金路径,这种“工具中立”与监管制裁之间的拉锯,注定会在本次事件后再被拿上台面。后续值得持续追踪的,是 PancakeSwap 是否给出充分的技术复盘与修复路径,隐私协议会否因此遭遇新一轮合规博弈,以及普通用户能否在参与 DeFi 前真正建立起对合约风险、权限设置和资产分散配置的基本认知,否则类似的链上剧本仍会在下一个高收益池中重演。
加入我们的社区,一起来讨论,一起变得更强吧!
AiCoin专属Hyperliquid福利:https://app.hyperliquid.xyz/join/AICOIN88
AiCoin专属Aster福利:https://www.asterdex.com/zh-CN/referral/9C50e2
链上电报(Telegram)社群:https://t.me/AiCoinWhaleData
链上社区:https://www.aicoin.com/link/chat?cid=N6OVMor5g
AiCoin链上推特:https://x.com/aicoinwhaledata
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
