金色财经报道,6月18日,据慢雾监测,BSC上DeFi挖矿协议Little Boy Plus遭黑客攻击,损失约37万美元资金(约610.555枚BNB)。原因为 `LBPHashrate._update()` 函数(位于 `0x5e3c...85fe`)被零值 `transferFrom` 调用触发,绕过了OpenZeppelin的授权检查。这允许攻击者未经pair授权调用 `LBPHashrate.transferFrom(pair, DEAD, 0)`,从而触发 `_harvest(pair)`,该函数通过 `LBP.mintReward(pair, reward)` 直接向PancakePair地址铸造LBP代币。铸造的LBP增加了pair的余额但未增加其储备,从而使攻击者能够通过 `PancakePair.swap()` 抽干USDT。