DLMC代币因定价机制缺陷遭闪电贷攻击，国库资金损失超22万美元

2026年6月24日，与BNB链上Decentralized Legacy Management Corporation项目相关的DLMC代币遭遇严重资金池流失，损失金额约为222,560 USDT。此次事件由TenArmor Security率先发现并通报，其监控系统在UTC时间11:15（区块106091607）识别出异常交易活动。

攻击者利用闪电贷操纵价格实现套利

攻击者通过发起一笔约142万USDT的闪电贷，从PancakeSwap交易对（地址0x16b9a8…eb0dae）执行大规模兑换操作。随后，辅助合约大量买入价值超过142万USDT的DLMC代币，显著抬高了协议内USDT储备量。由于该协议的价格计算模型仅以外部流通供应量为分母，未将合约持有的新铸造代币纳入考量，导致内部代币价格从原本的0.41 USDT飙升至接近25 USDT。

虚高价格下完成奖励赎回并实现净收益

在价格被人为推高后，一个关联地址以被操纵的高价将约65,908个DLMC代币卖回给协议，触发合约支付总计约164.6万USDT的奖励。攻击者在偿还约142.4万USDT的贷款后，成功提取222,560美元的净利润。根本原因在于存款函数与价格更新机制之间存在逻辑断层——新铸代币未被计入流通供应量，致使推荐奖励可立即针对虚假估值进行赎回。

经济设计缺陷成近期攻击主因

此次攻击暴露了协议在经济模型层面的深层漏洞。尽管智能合约本身未被越权调用，但其自引用定价机制与激励发放逻辑的耦合，使得攻击者无需突破访问控制即可实现资金转移。该模式与今年早些时候Polygon上Ink Finance及Royal遗产版税合约的攻击高度相似，均依赖于非代码层面的机制缺陷。目前项目方尚未发布公开回应，而相关资产追踪显示，利润最终流入地址0x701bb7b460ae231dbbcfa3d87f0ab5b458429699。