リトルボーイプラス

慢雾の監視によると、Little Boy Plusが攻撃を受け、約377,642枚のUSDT（約610.555枚のBNB）を失った。脆弱性の原因は、LBPHashrateコントラクトの_update関数がゼロ値のtransferFrom呼び出しによってトリガーされ、OpenZeppelinの承認チェックを回避できることにある。攻撃者は承認なしにこの関数を呼び出し、_harvestをトリガーし、LBP.mintRewardを通じてPancakePairアドレスにLBPトークンを鋳造することができる。鋳造されたLBPはプールの残高を増加させるが、準備金は変更しない。攻撃者はその後、PancakePair.swapを通じてUSDTを使い果たした。