SlowMist: Little Boy Plus hackeado, con pérdidas de aproximadamente 370,000 dólares

Foresight_News · 2026-06-18T02:03:00.000Z

Foresight News reporta que, según la monitorización de SlowMist, el protocolo de minería DeFi en BSC, Little Boy Plus, ha sido hackeado, con una pérdida de aproximadamente 370,000 dólares (alrededor de 610.555 BNB). La causa fue la llamada a `LBPHashrate._update()` (en `0x5e3c...85fe`) activada por un `transferFrom` de valor cero, eludiendo la verificación de autorización de OpenZeppelin. Esto permitió al atacante llamar a `LBPHashrate.transferFrom(pair, DEAD, 0)` sin la autorización del par, lo que a su vez activó `_harvest(pair)`, una función que a través de `LBP.mintReward(pair, reward)` acuñó directamente tokens LBP en la dirección de PancakePair. Los LBP acuñados aumentaron el saldo del par, pero no sus reservas, permitiendo así al atacante drenar USDT mediante `PancakePair.swap()`.

Foresight News 消息，据慢雾监测，BSC 上 DeFi 挖矿协议 Little Boy Plus 遭黑客攻击，损失约 37 万美元资金（约 610.555 枚 BNB）。原因为 `LBPHashrate._update（）` 函数（位于 `0x5e3c...85fe`）被零值 `transferFrom` 调用触发，绕过了 OpenZeppelin 的授权检查。这允许攻击者未经 pair 授权调用 `LBPHashrate.transferFrom（pair, DEAD, 0）`，从而触发 `_harvest（pair）`，该函数通过 `LBP.mintReward（pair, reward）` 直接向 PancakePair 地址铸造 LBP 代币。铸造的 LBP 增加了 pair 的余额但未增加其储备，从而使攻击者能够通过 `PancakePair.swap（）` 抽干 USDT。