Tcache가 LIFO 순서로 할당된다는데 그렇다면
# Append address of stdout to tcache[0x40]
# tcache[0x40]: chunk A -> stdout -> IO_2_1_stdout -> ...
addr_stdout = e.symbols['stdout']
alloc(0x30, p64(addr_stdout))

# tcache[0x40]: stdout -> IO_2_1_stdout -> ...
alloc(0x30, b'BBBBBBBB')

해당 과정에서 chunk A가 BBBBBBBB로 할당되는 것이 아니라 나중에 들어온 stdout이 할당되어야 하는 것 아닌가요?