慢霧：Little Boy Plus 遭黑客攻擊，損失約 37 萬美元資金

金色財經報道，6月18日，據慢霧監測，BSC上DeFi挖礦協議Little Boy Plus遭黑客攻擊，損失約37萬美元資金（約610.555枚BNB）。原因爲 `LBPHashrate._update（）` 函數（位於 `0x5e3c...85fe`）被零值 `transferFrom` 調用觸發，繞過了OpenZeppelin的授權檢查。這允許攻擊者未經pair授權調用 `LBPHashrate.transferFrom（pair, DEAD, 0）`，從而觸發 `_harvest（pair）`，該函數通過 `LBP.mintReward（pair, reward）` 直接向PancakePair地址鑄造LBP代幣。鑄造的LBP增加了pair的餘額但未增加其儲備，從而使攻擊者能夠通過 `PancakePair.swap（）` 抽乾USDT。