Little Boy Plus가 해킹당해 약 377,642 USDT (610,555 BNB에 해당)의 손실이 발생했습니다.
SlowMist는 LBPHashrate 컨트랙트 내의 _update 함수에 취약점이 있다고 보고했습니다. 이 함수는 transferFrom 명령어에 0이라는 값을 입력하면 실행될 수 있으며, 이를 통해 OpenZeppelin의 권한 확인 메커니즘을 우회할 수 있습니다.
공격자는 권한을 부여하지 않고도 이 함수를 호출하여 _harvest를 트리거하고 LBP.mintReward를 통해 PancakePair 주소로 LBP 민트 토큰을 보낼 수 있습니다.
발행된 LBP는 풀 잔액을 증가시키지만 준비금은 변경하지 않으며, 그 후 공격자는 PancakePair.swap 명령어를 통해 USDT를 인출합니다.
