SlowMist|2026年06月18日 01:52
SlowMist TI 警报
@LittleBoyPlus 遭到攻击。损失:约 377,642 USDT(约 610.555 BNB)
根本原因:`LBPHashrate._update()` 函数(位于 `0x5e3c...85fe`)被零值的 `transferFrom` 调用触发,从而绕过了 OpenZeppelin 的授权检查。这使攻击者可以在未获得 pair 授权的情况下调用 `LBPHashrate.transferFrom(pair, DEAD, 0)`,触发 `_harvest(pair)`,直接通过 `LBP.mintReward(pair, reward)` 将 LBP 代币铸造到 PancakePair 地址。铸造的 LBP 增加了 pair 的余额,但未增加其储备,从而使攻击者能够通过 `PancakePair.swap()` 消耗 USDT。
攻击者地址:`0x5449ded887576f43fc339851e942ebc1e6f8118b`
受害者 Pair 地址:`0x00e3ea08fd8cbad955ec5d2292ad637670c31524`
漏洞合约 :`0x5e3cbc82d020be91a989eb747934104e9ab585fe`
影响:LBPHashrate 上的零值 `transferFrom` 调用允许未经授权的收获和铸造到 PancakePair,导致储备失衡并立即消耗 USDT。
Powered by SlowMist.AI
https://(bscscan.com)/tx/0x55856d9fda4c5be5193561c7d775e823c3d6e499da44aab9da963daf61c50b0c
分享至:
脉络
热门快讯
APP下载
X
Telegram
复制链接