慢霧警告：BSC 協議 Little Boy Plus 遭駭，377642 USDT 被抽空

區塊鏈安全機構慢霧（SlowMist）於 6 月 18 日發布 TI Alert，監測發現 BSC 鏈上 DeFi 挖礦協議 Little Boy Plus 遭駭客攻擊，損失約 377,642 USDT（約 610.555 枚 BNB）。慢霧稱，此次攻擊漏洞存在於 LBPHashrate._update() 函式。

漏洞根源：LBPHashrate._update() 函式可被零值 transferFrom 繞過授權檢查

（來源：Etherscan）

根據慢霧的技術分析，漏洞核心如下：攻擊者無需取得交易對（pair）的任何授權，即可直接呼叫 LBPHashrate.transferFrom(pair, DEAD, 0)（零值轉帳），此呼叫不涉及任何實際資產轉移，但會繞過 OpenZeppelin 的授權（allowance）驗證機制，並觸發內部的 _harvest(pair) 函式執行。

攻擊執行路徑：從零值呼叫到 PancakePair.swap() 抽空 USDT

根據慢霧的分析，攻擊執行鏈如下：觸發 _harvest(pair) 後，函式呼叫 LBP.mintReward(pair, reward)，向 PancakeSwap 的流動性池位址直接鑄造 LBP 代幣。

這批無償鑄造的 LBP 增加了交易對的帳面餘額，但未同步增加實際儲備，造成流動性池內的價格失衡。攻擊者隨後利用 PancakePair.swap() 函式，按此失衡後的虛假匯率將池中的 USDT 全數提取，完成此次攻擊。

常見問題

此次攻擊的根本原因是什麼？

根據慢霧的技術分析，根本原因是 LBPHashrate._update() 函式對零值 transferFrom 呼叫的處理邏輯存在缺陷，允許任何人在不持有任何授權的情況下觸發 _harvest() 函式，從而引發 LBP 代幣的無授權鑄造。這屬於智能合約的業務邏輯漏洞，而非加密演算法問題。

攻擊者為何選擇零值 transferFrom 作為攻擊入口？

根據慢霧的說明，OpenZeppelin 的標準授權檢查機制通常在轉帳金額大於零時才觸發驗證。零值轉帳繞過了這一限制，使攻擊者可以在不持有任何代幣或授權的情況下調用內部函式，這是本次攻擊的核心突破口。

損失規模的具體數字來源是什麼？

損失數字來自慢霧於 2026 年 6 月 18 日在 X 平台（前身 Twitter）發布的 SlowMist TI Alert，精確數字為 ~377,642 USDT（~610.555 BNB），已通過慢霧的鏈上監測工具驗證。