Persetujuan lama hanya menelan biaya $13.3 juta. Alamat korban 0xba15E9b644685cB845aF18a738Abd40C6Bcd78eD menerima ~$13,3 juta melalui transaksi abstraksi akun dan terkuras dalam hitungan detik. Akar penyebabnya ditelusuri kembali ke panggilan approve() yang dibuat pada 1 Januari 2026, memberikan hak belanja kepada 0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e. Penyerang 0x6cAad74121bF602e71386505A4687f310e0D833e mengeksploitasi persetujuan basi ini dan menyedot seluruh jumlahnya. Perilaku pasca-pengurasan adalah buku teks: Dana ditukar ke WETH → ETH Transfer cepat ke beberapa dompet Memisahkan dana untuk membuat web transaksi dan mempersulit pelacakan Khususnya, sebagian besar dana masih berada di rantai di alamat yang dikendalikan penyerang.