SlowMist: Little Boy Plus зазнав хакерської атаки, втрачено близько 370 тисяч доларів

Foresight News повідомляє, згідно з моніторингом SlowMist, DeFi майнінг-протокол Little Boy Plus на BSC зазнав хакерської атаки, внаслідок чого втратив близько 370 тисяч доларів США (приблизно 610,555 BNB). Причиною стала функція `LBPHashrate._update()` (розташована за адресою `0x5e3c...85fe`), яка була викликана нульовим значенням `transferFrom`, що дозволило обійти перевірку авторизації OpenZeppelin. Це дало змогу зловмиснику без авторизації pair викликати `LBPHashrate.transferFrom(pair, DEAD, 0)`, що в свою чергу запустило `_harvest(pair)`. Ця функція напряму через `LBP.mintReward(pair, reward)` створювала токени LBP на адресу PancakePair. Створені LBP збільшували баланс pair, не підвищуючи резерви, що дозволило зловмиснику вивести USDT через `PancakePair.swap()`.