SlowMist memperingatkan: Protokol BSC Little Boy Plus diserang peretas, 377.642 USDT dikuras habis

Lembaga Keamanan Blockchain SlowMist (SlowMist) pada 18 Juni merilis TI Alert, yang memantau bahwa protokol penambangan DeFi Little Boy Plus di jaringan BSC menjadi korban serangan peretas, dengan kerugian sekitar 377.642 USDT (sekitar 610,555 BNB). SlowMist menyebutkan bahwa kerentanan pada serangan ini berada di fungsi LBPHashrate._update().

Akar Masalah: Fungsi LBPHashrate._update() dapat melewati pemeriksaan otorisasi lewat transferFrom bernilai nol

(Sumber: Etherscan)

Berdasarkan analisis teknis SlowMist, inti kerentanannya adalah sebagai berikut: penyerang tidak perlu mendapatkan otorisasi apa pun untuk pasangan (pair), melainkan dapat langsung memanggil LBPHashrate.transferFrom(pair, DEAD, 0) (transfer bernilai nol). Panggilan ini tidak melibatkan pemindahan aset nyata, namun melewati mekanisme validasi otorisasi (allowance) dari OpenZeppelin, dan memicu eksekusi fungsi internal _harvest(pair).

Jalur Eksekusi Serangan: Dari Panggilan Bernilai Nol ke PancakePair.swap() untuk Menguras USDT

Berdasarkan analisis SlowMist, jalur eksekusi serangan di rantai adalah sebagai berikut: setelah memicu _harvest(pair), fungsi memanggil LBP.mintReward(pair, reward), lalu mencetak token LBP secara langsung ke alamat pool likuiditas PancakeSwap.

Pencetakan LBP gratis ini menambah saldo tercatat pada pasangan, tetapi tidak menambah cadangan aktual, sehingga menyebabkan ketidakseimbangan harga di dalam pool likuiditas. Selanjutnya, penyerang menggunakan fungsi PancakePair.swap(), dan dengan kurs palsu setelah ketidakseimbangan tersebut, mengekstrak seluruh USDT di pool, sehingga menyelesaikan serangan ini.

Pertanyaan yang Sering Diajukan

Apa akar penyebab serangan ini?

Berdasarkan analisis teknis SlowMist, akar penyebabnya adalah adanya kekurangan pada logika penanganan fungsi LBPHashrate._update() terhadap pemanggilan transferFrom bernilai nol, yang memungkinkan siapa pun memicu fungsi _harvest() tanpa memegang otorisasi apa pun, sehingga menyebabkan pencetakan token LBP tanpa otorisasi. Ini merupakan kerentanan pada logika bisnis kontrak pintar, bukan masalah algoritma kriptografi.

Mengapa penyerang memilih transferFrom bernilai nol sebagai pintu masuk serangan?

Menurut penjelasan SlowMist, mekanisme pemeriksaan otorisasi standar dari OpenZeppelin umumnya hanya memicu validasi ketika jumlah transfer lebih besar dari nol. Transfer bernilai nol melewati batasan ini, sehingga penyerang dapat memanggil fungsi internal tanpa memegang token atau otorisasi apa pun, dan ini menjadi celah inti pada serangan kali ini.

Apa sumber angka spesifik dari skala kerugian?

Angka kerugian berasal dari rilis SlowMist TI Alert di platform X (sebelumnya Twitter) pada 18 Juni 2026, dengan angka yang tepat sebesar ~377.642 USDT (~610,555 BNB), dan telah diverifikasi melalui alat pemantauan on-chain milik SlowMist.