SlowMist 警告：BSC 协议 Little Boy Plus 遭受黑客攻击，377642 USDT 被抽空

区块链安全机构慢雾（SlowMist）于 6 月 18 日发布 TI Alert，监测发现 BSC 链上 DeFi 挖矿协议 Little Boy Plus 遭黑客攻击，损失约 377,642 USDT（约 610.555 枚 BNB）。慢雾称，此次攻击漏洞存在于 LBPHashrate._update() 函式。

漏洞根源：LBPHashrate._update() 函式可被零值 transferFrom 绕过授权检查

（来源：Etherscan）

根据慢雾的技术分析，漏洞核心如下：攻击者无需取得交易对（pair）的任何授权，即可直接调用 LBPHashrate.transferFrom(pair, DEAD, 0)（零值转账），此调用不涉及任何实际资产转移，但会绕过 OpenZeppelin 的授权（allowance）验证机制，并触发内部的 _harvest(pair) 函式执行。

攻击执行路径：从零值调用到 PancakePair.swap() 抽空 USDT

根据慢雾的分析，攻击执行链如下：触发 _harvest(pair) 后，函式调用 LBP.mintReward(pair, reward)，向 PancakeSwap 的流动性池地址直接铸造 LBP 代币。

这批无偿铸造的 LBP 增加了交易对的账面余额，但未同步增加实际储备，造成流动性池内的价格失衡。攻击者随后利用 PancakePair.swap() 函式，按此失衡后的虚假汇率将池中的 USDT 全数提取，完成此次攻击。

常见问题

此次攻击的根本原因是什么？

根据慢雾的技术分析，根本原因是 LBPHashrate._update() 函式对零值 transferFrom 调用的处理逻辑存在缺陷，允许任何人在不持有任何授权的情况下触发 _harvest() 函式，从而引发 LBP 代币的无授权铸造。这属于智能合约的业务逻辑漏洞，而非加密算法问题。

攻击者为何选择零值 transferFrom 作为攻击入口？

根据慢雾的说明，OpenZeppelin 的标准授权检查机制通常在转账金额大于零时才触发验证。零值转账绕过了这一限制，使攻击者可以在不持有任何代币或授权的情况下调用内部函式，这是本次攻击的核心突破口。

损失规模的具体数字来源是什么？

损失数字来自慢雾于 2026 年 6 月 18 日在 X 平台（前身 Twitter）发布的 SlowMist TI Alert，精确数字为 ~377,642 USDT（~610.555 BNB），已通过慢雾的链上监测工具验证。