Уязвимость нашлась в одной из функций смарт-контракта. Хакер смог отправить специальный запрос с нулевой суммой, что позволило обойти стандартную проверку прав доступа. Это запустило процесс, который автоматически создавал новые токены LBP из ниоткуда и направлял на адрес торговой пары PancakePair.
В результате баланс токенов LBP в пуле вырос, но реальный резерв не изменился — возник дисбаланс. Воспользовавшись разницей, хакер обменял токены и вывел из пула 377 642 USDT через функцию обмена. Эксперты SlowMist опубликовали адрес нападавшего: 0x5449ded887576f43fc339851e942ebc1e6f8118b.
Разработчики проекта Little Boy Plus пока не делали официального заявления по поводу инцидента.
Little Boy Plus позиционирует себя как «полностью децентрализованный» DeFi‑протокол для майнинга на BNB Smart Chain. Его создатели заявляли о фиксированном предложении токенов LBP в размере 21 000 000 и подчеркивали, что в проекте нет команды разработчиков с особыми правами и «административных ключей», то есть никто не может просто так увеличить количество токенов. Проект строится на идее полного доверия к коду, а не к людям.
Накануне хакеры похитили около 111 098 USDC из пула ликвидности на децентрализованной бирже PancakeSwap из‑за ошибки в коде мемкоина Buy the DIP, который также работает на блокчейне BNB Chain.
Источник: bits.media