慢雾警告：BSC 协议 Little Boy Plus 遭黑客攻击，37 万美元被洗劫一空

BSC 链上 DeFi 挖矿协议 Little Boy Plus 遭骇客攻击，损失约 37 万美元（约 610.5 BNB）。慢雾（SlowMist）监测指出，漏洞根源在于 LBPHashrate._update() 函式可被零值 transferFrom 绕过授权检查，攻击者最终通过 PancakeSwap 流动性池将 USDT 全数抽干。
（前情提要：BSC官方：8起闪电贷攻击恐为「同一骇客组织」所为！）
（背景补充：隐私币 Aztec 智能合约遭骇客攻击被盗 219 万美元！慢雾揭露「结算绕过」漏洞）

区块链安全机构慢雾（SlowMist）监测发现，BSC 链上 DeFi 挖矿协议 Little Boy Plus 于 6 月 18 日遭骇客攻击，损失约 37 万美元（约 610.5 枚 BNB）。慢雾指出，此次攻击的核心漏洞存在于 LBPHashrate._update() 函式中。

零值转账绕过授权检查

慢雾分析指出，漏洞函数位于地址 0x5e3c…85fe，问题出在该函数可被零值的 transferFrom 调用触发，从而绕过 OpenZeppelin 的授权检查机制。具体而言，攻击者无需取得交易对（pair）的授权，即可直接调用 LBPHashrate.transferFrom(pair, DEAD, 0)，触发内部的 _harvest(pair) 函式。

LBP 代币铸造导致流动性失衡

_harvest(pair) 函式随后通过 LBP.mintReward(pair, reward) 向 PancakeSwap 的流动性池地址直接铸造 LBP 代币。这批凭空产生的 LBP 增加了交易对的账面余额，却未同步增加其实际储备，造成流动性池内的价格失衡。攻击者利用此一漏洞，通过 PancakePair.swap() 函式将池中的 USDT 全数提取一空。

🚨SlowMist TI 警报🚨

💸 @LittleBoyPlus 已被利用。损失：约 377,642 USDT（约 610.555 BNB）

🔍 根本原因：LBPHashrate._update() 函式（位于 0x5e3c…85fe）被零值 transferFrom 调用触发，绕过了 OpenZeppelin 的授权检查。这允许…

— SlowMist (@SlowMist_Team) 2026年6月18日