Little Boy Plus 遭到黑客攻擊,導致損失約 377,642 USDT ,相當於 610,555 BNB。
慢霧報告稱,該漏洞存在於LBPHashrate合約中的_update函數中。該函數可以通過傳遞值為 0 的transferFrom命令來觸發,從而超越OpenZeppelin 的權限檢查機制。
攻擊者可以在不授予權限的情況下調用此函數,觸發_harvest ,並通過LBP.mintReward將鑄幣代幣LBP 發送到PancakePair地址。
鑄造 LBP上漲資金池餘額,但不會改變儲備金,然後攻擊者通過PancakePairswap訂單提取USDT。
