PANews 6월 18일 소식, 슬로우미스트(SlowMist) 모니터링에 따르면 Little Boy Plus가 공격을 받아 약 377,642 USDT(약 610.555 BNB)의 손실이 발생했습니다. 취약점 원인은 LBPHashrate 컨트랙트의 _update 함수가 0값 transferFrom 호출을 통해 트리거될 수 있어 OpenZeppelin의 권한 검사를 우회할 수 있다는 점입니다. 공격자는 권한 없이 해당 함수를 호출하여 _harvest를 트리거하고 LBP.mintReward를 통해 PancakePair 주소로 LBP 토큰을 발행할 수 있었습니다. 발행된 LBP는 풀 잔액을 증가시키지만 준비금은 변경하지 않으며, 이후 공격자는 PancakePair.swap을 통해 USDT를 모두 탈취했습니다.