据慢雾安全监测,BSC 链上的 DeFi 挖矿协议 Little Boy Plus 近日遭黑客攻击,损失约 37 万美元(约 610.555 枚 BNB)。此次攻击的根源在于 `LBPHashrate._update()` 函数(位于合约地址 `0x5e3c…85fe`)被零值 `transferFrom` 调用触发,绕过了 OpenZeppelin 标准的授权验证机制。攻击者利用此漏洞,在未获得 PancakePair 合约授权的情况下,调用 `LBPHashrate.transferFrom(pair, DEAD, 0)`,进而触发 `_harvest(pair)` 函数。该函数通过 `LBP.mintReward(pair, reward)` 直接向 PancakePair 地址铸造 LBP 代币。由于铸造的代币增加了 pair 合约的余额但未同步增加其储备金,这导致攻击者能够通过 `PancakePair.swap()` 操作,最终成功抽干了 USDT 资金。
