SlowMist: Little Boy Plus bị hacker tấn công, mất khoảng 370,000 USD

Theo tin tức từ Foresight News, dựa trên giám sát của SlowMist, giao thức khai thác DeFi Little Boy Plus trên BSC đã bị tấn công bởi hacker, gây thiệt hại khoảng 370 nghìn đô la Mỹ (tương đương khoảng 610,555 BNB). Nguyên nhân là do hàm `LBPHashrate._update()` (nằm tại địa chỉ `0x5e3c...85fe`) bị gọi với thao tác `transferFrom` giá trị bằng zero, qua mặt kiểm tra uỷ quyền của OpenZeppelin. Việc này cho phép kẻ tấn công gọi `LBPHashrate.transferFrom(pair, DEAD, 0)` mà không cần uỷ quyền từ pair, từ đó kích hoạt `_harvest(pair)`. Hàm này sử dụng `LBP.mintReward(pair, reward)` để trực tiếp mint token LBP tới địa chỉ PancakePair. Số token LBP được mint này làm tăng số dư của pair nhưng không tăng dự trữ, cho phép kẻ tấn công rút hết USDT thông qua thao tác `PancakePair.swap()`.