鼓狮财经:据慢雾安全团队监测,知名 DeFi 项目 Little Boy Plus 近期不幸遭遇黑客攻击,导致巨额资产损失。此次事件造成项目方损失约 377,642 枚 USDT(折合约 610.555 枚 BNB),这一数字引起了加密货币社区的广泛关注。
深入分析此次漏洞的成因,攻击者利用的是 LBPHashrate 合约中 `_update` 函数的安全缺陷。攻击者通过构造特殊的“零值 transferFrom”交易,成功绕过了 OpenZeppelin 标准库中严密的授权检查机制。这意味着,攻击者在未获得任何授权的情况下,竟然能够直接调用该敏感函数,从而为后续的恶意操作打开了方便之门。
在获取执行权限后,攻击者迅速触发 `_harvest` 逻辑,并利用 `LBP.mintReward` 函数向 PancakeSwap 的流动性池地址铸造了大量的 LBP 代币。这种操作极具欺骗性:虽然代币的注入增加了池子的总余额,但并未改变池子的实际资产储备。攻击者正是利用这种“虚假流动性”的假象,通过 `PancakePair.swap` 接口在短时间内耗尽了池子中的 USDT 资金,从而完成了最终的资产掠夺。