PANews 6月18日、SlowMistの監視によると、Little Boy Plusが攻撃を受け、約377,642 USDT（約610.555 BNB）が損失した。脆弱性の原因は、LBPHashrateコントラクトの_update関数がゼロ値のtransferFrom呼び出しによってトリガー可能であり、OpenZeppelinの認可チェックを回避できる点にある。攻撃者は認可なしで当該関数を呼び出し、_harvestをトリガーし、LBP.mintRewardを通じてPancakePairアドレスにLBPトークンをミントした。ミントされたLBPはプール残高を増加させるがリザーブは変更せず、攻撃者はその後PancakePair.swapを通じてUSDTを枯渇させた。