Alerte de Mist: le protocole BSC Little Boy Plus a été piraté, 377 642 USDT ont été vidés

L’institution de sécurité blockchain SlowMist (慢霧) a publié le 18 juin une TI Alert, indiquant que la surveillance a révélé qu’un protocole de minage DeFi sur la chaîne BSC, Little Boy Plus, a été attaqué par des pirates, causant une perte d’environ 377 642 USDT (environ 610,555 BNB). SlowMist affirme que la faille de cette attaque se situe dans la fonction LBPHashrate._update().

Origine de la faille : la fonction LBPHashrate._update() peut contourner la vérification d’autorisation via un transferFrom à valeur nulle

（來源：Etherscan）

D’après l’analyse technique de SlowMist, le cœur de la vulnérabilité est le suivant : l’attaquant n’a pas besoin d’obtenir la moindre autorisation liée à la paire (pair). Il peut appeler directement LBPHashrate.transferFrom(pair, DEAD, 0) (transfert de valeur nulle). Cet appel ne déclenche aucun transfert effectif d’actifs, mais contourne le mécanisme de validation d’autorisation (allowance) d’OpenZeppelin et déclenche ensuite l’exécution de la fonction interne _harvest(pair).

Chemin d’exécution de l’attaque : d’un appel à valeur nulle à l’extraction de l’USDT via PancakePair.swap()

D’après l’analyse de SlowMist, la chaîne d’exécution de l’attaque est la suivante : après avoir déclenché _harvest(pair), la fonction appelle LBP.mintReward(pair, reward), en frappant directement des tokens LBP vers l’adresse du pool de liquidité de PancakeSwap.

Ces LBP frappés gratuitement augmentent le solde comptable de la paire, mais n’augmentent pas en parallèle les réserves réelles, ce qui provoque un déséquilibre des prix au sein du pool de liquidité. L’attaquant utilise ensuite la fonction PancakePair.swap() pour extraire entièrement l’USDT du pool, en se basant sur le taux de change fictif induit par ce déséquilibre, ce qui achève l’attaque.

Questions fréquentes

Quelle est la cause fondamentale de cette attaque ?

D’après l’analyse technique de SlowMist, la cause fondamentale est que la logique de traitement de la fonction LBPHashrate._update() pour les appels transferFrom à valeur nulle est défectueuse. Elle permet à n’importe qui de déclencher la fonction _harvest() sans détenir la moindre autorisation, entraînant ainsi une frappe non autorisée de tokens LBP. Il s’agit d’une faille de logique métier du contrat intelligent, et non d’un problème d’algorithme cryptographique.

Pourquoi les attaquants ont-ils choisi le transferFrom à valeur nulle comme point d’entrée ?

D’après les explications de SlowMist, le mécanisme standard de vérification d’autorisation d’OpenZeppelin ne déclenche généralement la validation que lorsque le montant du transfert est supérieur à zéro. Un transfert de valeur nulle contourne cette limite, permettant à l’attaquant d’appeler une fonction interne sans détenir aucun token ni aucune autorisation. C’est la percée centrale de cette attaque.

D’où proviennent les chiffres précis de l’ampleur des pertes ?

Le chiffre des pertes provient de la SlowMist TI Alert publiée par SlowMist le 18 juin 2026 sur la plateforme X (ancien Twitter). Le chiffre exact est ~377 642 USDT (~610,555 BNB). Il a été vérifié via l’outil de surveillance on-chain de SlowMist.