bits.media
Уязвимость нашлась в одной из функций смарт-контракта. Хакер смог отправить специальный запрос с нулевой суммой, что позволило обойти стандартную проверку прав доступа. Это запустило процесс, который автоматически создавал новые токены LBP из ниоткуда и направлял на адрес торговой пары PancakePair.
В результате баланс токенов LBP в пуле вырос, но реальный резерв не изменился — возник дисбаланс. Воспользовавшись разницей, хакер обменял токены и вывел из пула 377 642 USDT через функцию обмена. Эксперты SlowMist опубликовали адрес нападавшего: 0x5449ded887576f43fc339851e942ebc1e6f8118b.
Разработчики проекта Little Boy Plus пока не делали официального заявления по поводу инцидента.
Little Boy Plus позиционирует себя как «полностью децентрализованный» DeFi‑протокол для майнинга на $BNB Smart Chain. Его создатели заявляли о фиксированном предложении токенов LBP в размере 21 000 000 и подчеркивали, что в проекте нет команды разработчиков с особыми правами и «административных ключей», то есть никто не может просто так увеличить количество токенов. Проект строится на идее полного доверия к коду, а не к людям.
Накануне хакеры похитили около 111 098 USDC из пула ликвидности на децентрализованной бирже PancakeSwap из‑за ошибки в коде мемкоина Buy the DIP, который также работает на блокчейне $BNB Chain.