SlowMist advierte: el protocolo BSC Little Boy Plus fue hackeado, se vaciaron 377642 USDT

La firma de seguridad blockchain SlowMist publicó el 18 de junio un TI Alert, en el que informó que, tras monitorear, el protocolo DeFi de minería Little Boy Plus en la cadena BSC fue atacado por un hacker, con una pérdida aproximada de 377,642 USDT (aprox. 610,555 BNB). SlowMist afirma que la vulnerabilidad de este ataque existe en la función LBPHashrate._update().

Origen de la vulnerabilidad: la función LBPHashrate._update() puede eludir la verificación de autorización mediante transferFrom de valor cero

（Fuente: Etherscan）

Según el análisis técnico de SlowMist, el núcleo de la vulnerabilidad es el siguiente: el atacante no necesita obtener ninguna autorización de la contraparte (pair), y puede llamar directamente a LBPHashrate.transferFrom(pair, DEAD, 0) (transferencia de valor cero). Esta llamada no implica ninguna transferencia real de activos, pero elude el mecanismo de verificación de autorización (allowance) de OpenZeppelin y activa la ejecución de la función interna _harvest(pair).

Ruta de ejecución del ataque: de la llamada de valor cero a drenar USDT vía PancakePair.swap()

De acuerdo con el análisis de SlowMist, la cadena de ejecución del ataque es la siguiente: tras activar _harvest(pair), la función llama a LBP.mintReward(pair, reward), acuñando directamente los tokens LBP en la dirección del pool de liquidez de PancakeSwap.

Estos LBP acuñados sin coste incrementan el saldo contable del par, pero no aumentan de forma simultánea las reservas reales, lo que provoca un desequilibrio del precio en el pool de liquidez. Luego, el atacante utiliza la función PancakePair.swap() para extraer por completo los USDT del pool aplicando la tasa ficticia después del desequilibrio, completando así el ataque.

Preguntas frecuentes

¿Cuál es la causa raíz de este ataque?

Según el análisis técnico de SlowMist, la causa raíz es un defecto en la lógica de manejo de la función LBPHashrate._update() frente a llamadas transferFrom de valor cero, lo que permite que cualquiera active la función _harvest() sin necesidad de tener ninguna autorización. Esto desencadena una acuñación no autorizada de tokens LBP. Se trata de una vulnerabilidad de lógica de negocio en el contrato inteligente, no de un problema relacionado con algoritmos criptográficos.

¿Por qué el atacante eligió transferFrom de valor cero como punto de entrada del ataque?

Según la explicación de SlowMist, el mecanismo estándar de verificación de autorización de OpenZeppelin normalmente solo activa la validación cuando el monto de la transferencia es mayor que cero. La transferencia de valor cero elude esta restricción, permitiendo que el atacante invoque funciones internas sin poseer ningún token o autorización; esta es la clave del avance en este ataque.

¿De dónde provienen las cifras específicas del alcance de las pérdidas?

El número de pérdidas proviene del SlowMist TI Alert publicado por SlowMist en la plataforma X (antes Twitter) el 18 de junio de 2026. La cifra exacta es ~377,642 USDT ( ~610.555 BNB), y se ha verificado mediante las herramientas de monitoreo on-chain de SlowMist.