Little Boy Plus 遭到黑客攻击,导致损失约 377,642 USDT ,相当于 610,555 BNB。
慢雾报告称,该漏洞存在于LBPHashrate合约中的_update函数中。该函数可以通过传递值为 0 的transferFrom命令来触发,从而超越OpenZeppelin 的权限检查机制。
攻击者可以在不授予权限的情况下调用此函数,触发_harvest ,并通过LBP.mintReward将铸币代币LBP 发送到PancakePair地址。
铸造 LBP上涨资金池余额,但不会改变储备金,然后攻击者通过PancakePairswap订单提取USDT。
