PANews 6月18日消息，据慢雾监测，Little Boy Plus遭遇攻击，损失约377,642枚USDT（约610.555枚BNB）。漏洞原因在于LBPHashrate合约的_update函数可通过零值transferFrom调用触发，绕过OpenZeppelin的授权检查，攻击者可无需授权调用该函数，触发_harvest并通过LBP.mintReward向PancakePair地址铸造LBP代币。铸造的LBP增加对池余额但不改变储备，攻击者随后通过PancakePair.swap耗尽USDT。