不明な霧の警告：BSC の協議 Little Boy Plus がハッキングされ、377642 USDT が抜き取られた

ブロックチェーン安全機構SlowMist（SlowMist）は6月18日にTI Alertを発表し、監視の結果、BSCチェーン上のDeFiマイニング・プロトコル「Little Boy Plus」が攻撃を受けたことを確認した。損失は約377,642 USDT（約610.555枚のBNB）。SlowMistによると、今回の攻撃の脆弱性はLBPHashrate._update()関数に存在する。

脆弱性の根源：LBPHashrate._update()関数はゼロ値のtransferFromで許可確認を回避できる

（出典：Etherscan）

SlowMistの技術分析によれば、脆弱性の核心は次のとおりである。攻撃者は取引ペア（pair）のいかなる承認（許可）も取得する必要なく、LBPHashrate.transferFrom(pair, DEAD, 0)（ゼロ値送金）を直接呼び出すことができる。この呼び出しは実際の資産移転を伴わないが、OpenZeppelinの承認（allowance）検証メカニズムを回避し、内部の_harvest(pair)関数の実行を引き起こす。

攻撃の実行経路：ゼロ値呼び出しからPancakePair.swap()でUSDTを抜き取る

SlowMistの分析によれば、攻撃の実行フローは次のとおりだ。_harvest(pair)をトリガーした後、関数はLBP.mintReward(pair, reward)を呼び出し、PancakeSwapの流動性プールのアドレスに直接LBPトークンを鋳造する。

この無償鋳造によってLBPは取引ペアの帳簿上の残高を増やす一方、実際の準備（リザーブ）を増やさないため、流動性プール内の価格が不均衡になる。攻撃者はその後、PancakePair.swap()関数を利用し、この不均衡後の虚偽の為替レートに基づいてプール内のUSDTをすべて引き出し、今回の攻撃を完了する。

よくある質問

今回の攻撃の根本原因は何ですか？

SlowMistの技術分析によれば、根本原因はLBPHashrate._update()関数の、ゼロ値のtransferFrom呼び出しに対する処理ロジックに欠陥があることだ。これにより、いかなる承認も持たない任意の人物が_harvest()関数をトリガーでき、その結果LBPトークンの無承認鋳造が引き起こされる。これは暗号アルゴリズムの問題ではなく、スマートコントラクトの業務ロジックの脆弱性である。

攻撃者はなぜゼロ値のtransferFromを攻撃入口に選んだのですか？

SlowMistの説明によると、OpenZeppelinの標準的な承認検査メカニズムは通常、送金額が0より大きい場合にのみ検証が発火する。ゼロ値送金はこの制限を回避し、攻撃者がいかなるトークンや承認も保有していなくても内部関数を呼び出せるようにする。これが今回の攻撃の核心となるブレークスルーだ。

損失規模の具体的な数値の出どころは何ですか？

損失の数値は、SlowMistが2026年6月18日にXプラットフォーム（旧Twitter）で発表したSlowMist TI Alertに由来する。正確な数値は~377,642 USDT（~610.555 BNB）であり、SlowMistのオンチェーン監視ツールによって検証済みである。