Alerta da SlowMist: o protocolo Little Boy Plus na BSC é hackeado, USDT 377.642 foi drenado

A empresa de segurança blockchain SlowMist publicou em 18 de junho um TI Alert. A monitoria identificou que o protocolo de mineração DeFi Little Boy Plus na rede BSC foi atacado por hackers, resultando em uma perda aproximada de 377.642 USDT (cerca de 610,555 BNB). A SlowMist afirmou que a brecha deste ataque está na função LBPHashrate._update().

Origem da vulnerabilidade: a função LBPHashrate._update() pode ser usada para contornar a verificação de autorização via transferFrom de valor zero

（Fonte: Etherscan）

De acordo com a análise técnica da SlowMist, o núcleo da vulnerabilidade é o seguinte: o atacante não precisa obter nenhuma autorização do par (pair). Ele pode chamar diretamente LBPHashrate.transferFrom(pair, DEAD, 0) (transferência de valor zero). Essa chamada não envolve nenhuma transferência real de ativos, mas contorna o mecanismo de verificação de autorização (allowance) do OpenZeppelin e aciona a execução da função interna _harvest(pair).

Caminho da execução do ataque: da chamada de valor zero ao esvaziamento de USDT via PancakePair.swap()

Conforme a análise da SlowMist, o fluxo de execução do ataque na cadeia é este: após acionar _harvest(pair), a função chama LBP.mintReward(pair, reward), cunhando diretamente os tokens LBP no endereço da pool de liquidez do PancakeSwap.

Essa cunhagem gratuita de LBP aumenta o saldo contábil do par de negociação, mas não eleva as reservas reais, causando um desequilíbrio de preço dentro da pool de liquidez. Em seguida, o atacante usa a função PancakePair.swap() para extrair todo o USDT da pool com base nessa taxa de câmbio fictícia resultante do desequilíbrio, concluindo o ataque.

Perguntas frequentes

Qual é a causa raiz deste ataque?

De acordo com a análise técnica da SlowMist, a causa raiz é uma falha na lógica de processamento da função LBPHashrate._update() para chamadas de transferFrom de valor zero. Isso permite que qualquer pessoa acione a função _harvest() sem deter qualquer autorização, causando a cunhagem não autorizada de tokens LBP. Trata-se de uma vulnerabilidade de lógica de negócio em contrato inteligente, e não de um problema de algoritmo criptográfico.

Por que o atacante escolheu transferFrom de valor zero como porta de entrada do ataque?

Conforme explicou a SlowMist, o mecanismo padrão de verificação de autorização do OpenZeppelin normalmente só é acionado quando o valor da transferência é maior que zero. A transferência de valor zero contorna essa limitação, permitindo que o atacante chame funções internas sem possuir nenhum token ou autorização. Esse é o突破 central deste ataque.

De onde vêm os números específicos do tamanho da perda?

O número da perda vem do SlowMist TI Alert publicado em 18 de junho de 2026 no X (antigo Twitter). O valor exato é de ~377.642 USDT (~610,555 BNB), e já foi verificado pelas ferramentas de monitoria on-chain da SlowMist.