⚽ 預測世界盃,瓜分 $40,000!Gate 懂王集結令!
2026世界盃燃爆今夏,來 Gate 廣場當預言家,豪華獎池等您來戰!
💥 輕鬆兩步參與:
1️⃣ 帶 #广场预测世界杯赢40000U 發帖,或分享官方活動至廣場發帖
👉️ https://www.gate.com/competition/football-2026
2️⃣ 發帖內容可圍繞賽事結果預測、賽事勝率分析、交易策略/截圖分享等。
💰 三重大獎等您拿:
1️⃣ 日獎:每天評選 10 位“單日預測王”瓜分 $500!
2️⃣ 周獎:每周狂抽 50 名幸運分享錦鯉瓜分 $1,000!
3️⃣ 榜單獎:衝進周/月度排行榜,斬獲 Gate 世界盃限量球衣禮盒、預測市場體驗券!
詳情:https://www.gate.com/announcements/article/51597
慢霧警告:BSC 協議 Little Boy Plus 遭駭,37 萬美元被洗劫一空
BSC 鏈上 DeFi 挖礦協議 Little Boy Plus 遭駭客攻擊,損失約 37 萬美元(約 610.5 BNB)。慢霧(SlowMist)監測指出,漏洞根源在於 LBPHashrate._update() 函式可被零值 transferFrom 繞過授權檢查,攻擊者最終透過 PancakeSwap 流動性池將 USDT 全數抽乾。
(前情提要:BSC官方:8起閃電貸攻擊恐為「同一駭客組織」所為!)
(背景補充:隱私幣 Aztec 智慧合約遭駭客攻擊被盜 219 萬美元!慢霧揭露「結算繞過」漏洞)
區塊鏈安全機構慢霧(SlowMist)監測發現,BSC 鏈上 DeFi 挖礦協議 Little Boy Plus 於 6 月 18 日遭駭客攻擊,損失約 37 萬美元(約 610.5 枚 BNB)。慢霧指出,此次攻擊的核心漏洞存在於 LBPHashrate._update() 函式中。
零值轉帳繞過授權檢查
慢霧分析指出,漏洞函式位於位址 0x5e3c…85fe,問題出在該函式可被零值的 transferFrom 呼叫觸發,從而繞過 OpenZeppelin 的授權檢查機制。具體而言,攻擊者無需取得交易對(pair)的授權,即可直接呼叫 LBPHashrate.transferFrom(pair, DEAD, 0),觸發內部的 _harvest(pair) 函式。
LBP 代幣鑄造導致流動性失衡
_harvest(pair) 函式隨後透過 LBP.mintReward(pair, reward) 向 PancakeSwap 的流動性池位址直接鑄造 LBP 代幣。這批憑空產生的 LBP 增加了交易對的帳面餘額,卻未同步增加其實際儲備,造成流動性池內的價格失衡。攻擊者利用此一漏洞,透過 PancakePair.swap() 函式將池中的 USDT 全數提取一空。