Misty Warning: BSC-Protokoll Little Boy Plus wird gehackt, 377.642 USDT werden abgezogen

Die Blockchain-Sicherheitsfirma SlowMist veröffentlichte am 18. Juni eine TI-Alert. Dabei wurde beobachtet, dass das DeFi-Bergbau-Protokoll Little Boy Plus auf der BSC-Kette von einem Hackerangriff betroffen war, mit einem Verlust von etwa 377.642 USDT (ca. 610,555 BNB). SlowMist zufolge liegt die Sicherheitslücke in der LBPHashrate._update()-Funktion.

Ursprung der Sicherheitslücke: LBPHashrate._update()-Funktion kann durch Zero-Value transferFrom die Berechtigungsprüfung umgehen

（Quelle: Etherscan）

Laut der technischen Analyse von SlowMist liegen die Kernpunkte der Sicherheitslücke wie folgt: Der Angreifer muss keinerlei Genehmigung für den Handelspaar-(pair)-Contract einholen. Er kann stattdessen direkt LBPHashrate.transferFrom(pair, DEAD, 0) (Zero-Value-Transfer) aufrufen. Dieser Aufruf beinhaltet keine tatsächliche Vermögensübertragung, umgeht aber die OpenZeppelin-Validierungsmechanismen für die Berechtigung (allowance) und löst anschließend die interne _harvest(pair)-Funktion aus.

Angriffsablauf: Von Zero-Value-Aufruf zu PancakePair.swap(), um USDT aus dem Pool abzuschöpfen

Laut der Analyse von SlowMist verläuft der Angriffsablauf in dieser Kette: Nachdem _harvest(pair) ausgelöst wurde, ruft die Funktion LBP.mintReward(pair, reward) auf und prägt LBP-Tokens direkt an die Liquiditätspool-Adresse von PancakeSwap.

Diese kostenlose Prägung von LBP erhöht zwar die buchhalterische Restmenge des Handelspaares, jedoch ohne die tatsächlichen Reserven entsprechend zu erhöhen. Dadurch kommt es zu einer Kursverschiebung im Liquiditätspool. Anschließend nutzt der Angreifer die PancakePair.swap()-Funktion, um nach dieser Verzerrung bei der (falschen) Wechselkursannahme das gesamte USDT aus dem Pool abzuziehen und so den Angriff abzuschließen.

Häufige Fragen

Was ist der grundlegende Grund für diesen Angriff?

Laut der technischen Analyse von SlowMist besteht der grundlegende Grund darin, dass die Logik der LBPHashrate._update()-Funktion bei einem Zero-Value transferFrom-Aufruf fehlerhaft ist. Dadurch kann jede Person die _harvest()-Funktion auslösen, ohne irgendeine Berechtigung zu besitzen, was zur nicht autorisierten Prägung von LBP-Tokens führt. Das ist eine Business-Logik-Sicherheitslücke im Smart Contract und kein Problem mit kryptografischen Algorithmen.

Warum wählte der Angreifer Zero-Value transferFrom als Einstiegspunkt für den Angriff?

Laut der Beschreibung von SlowMist löst der Standard-Berechtigungsprüfmechanismus von OpenZeppelin typischerweise die Validierung erst dann aus, wenn der Überweisungsbetrag größer als null ist. Der Zero-Value-Transfer umgeht diese Einschränkung, sodass der Angreifer interne Funktionen aufrufen kann, ohne irgendeinen Token zu besitzen oder Berechtigungen zu haben. Dies ist der entscheidende Durchbruch bei diesem Angriff.

Woher stammen die konkreten Zahlen zum Schadensumfang?

Die Schadenszahlen stammen von der SlowMist TI Alert, die SlowMist am 18. Juni 2026 auf der X-Plattform (ehemals Twitter) veröffentlicht hat. Die exakten Zahlen sind ~377.642 USDT (~610,555 BNB). Sie wurden bereits durch die On-Chain-Monitoring-Tools von SlowMist verifiziert.