Little Boy Plus: Drain durch unautorisiertes Minting

Am 18. Juni 2026 wurde Little Boy Plus (LBP) auf der BNB Chain um etwa 378.000 US-Dollar erleichtert — rund 377.642 USDT (etwa 610,555 BNB) — durch einen unautorisierten Minting-Fehler, den die Sicherheitsfirma SlowMist meldete.

Was geschah

Die Ursache lag in der Reward-Logik LBPHashrate._update(), die durch transferFrom-Aufrufe mit Nullwert ausgelöst werden konnte, welche die Allowance-Prüfung von OpenZeppelin umgehen. Der Angreifer rief LBPHashrate.transferFrom(pair, DEAD, 0) ohne Autorisierung des Paares auf, was _harvest(pair) aufrief und über LBP.mintReward(pair, reward) frische LBP direkt an die PancakePair-Adresse mintete. Die neu geminteten Token erhöhten die LBP-Balance des Paares, nicht aber dessen getrackte Reserve, wodurch eine Lücke zwischen realer Balance und verbuchter Reserve entstand. Mit Flash-Loan-Liquidität zur Dimensionierung des Trades rief der Angreifer dann PancakePair.swap() auf, um die USDT des Pools gegen die desynchronisierte Reserve abzuziehen, bevor er über BNB-Chain-Handelspools auscashte. On-Chain-Monitore identifizierten den Angreifer als 0x5449ded887576f43fc339851e942ebc1e6f8118b.

Folgen

SlowMist bezifferte den Verlust auf rund 377.642 USDT. Der Exploit ging auf die Minting- und Allowance-Logik des Tokens selbst zurück und nicht auf eine Schlüsselkompromittierung; zum Zeitpunkt der Veröffentlichung war keine Rückgewinnung gemeldet.

Warum es wichtig ist

Little Boy Plus ist eine weitere Erinnerung daran, dass permissionless Reward-Minting plus AMM-Reserve-Buchhaltung eine gefährliche Kombination auf der BNB Chain ist: Jeder Pfad, der Token direkt in ein Paar mintet, ohne dessen getrackte Reserve zu aktualisieren, liefert einem Angreifer ein kostenloses Preismanipulations-Primitiv. Es spiegelt die Reserve-Desync-Mechanik des DIP-Token-Drains zwei Tage zuvor und erinnert an das Mint-and-Dump-Muster hinter Elephant Money sowie an die AMM-Manipulation, die PancakeBunny traf.