Drenaje por minteo no autorizado de Little Boy Plus

El 18 de junio de 2026, Little Boy Plus (LBP) fue explotado en BNB Chain por aproximadamente $378.000 —unos 377.642 USDT (cerca de 610,555 BNB)— a través de un fallo de minteo no autorizado señalado por la firma de seguridad SlowMist.

Qué ocurrió

La causa raíz residía en la lógica de recompensas LBPHashrate._update(), que podía activarse mediante llamadas transferFrom de valor cero que eluden la verificación de allowance de OpenZeppelin. El atacante llamó a LBPHashrate.transferFrom(pair, DEAD, 0) sin autorización del par, lo que invocó _harvest(pair) y minteó nuevos LBP directamente a la dirección de PancakePair mediante LBP.mintReward(pair, reward). Los tokens recién minteados elevaron el saldo de LBP del par pero no su reserva registrada, abriendo una brecha entre el saldo real y la reserva contabilizada. Usando liquidez de flash loan para dimensionar la operación, el atacante llamó entonces a PancakePair.swap() para drenar los USDT del pool contra la reserva desincronizada antes de retirar a través de pools de trading de BNB Chain. Los monitores on-chain identificaron al atacante como 0x5449ded887576f43fc339851e942ebc1e6f8118b.

Consecuencias

SlowMist cifró la pérdida en unos 377.642 USDT. El exploit derivó de la propia lógica de minteo y allowance del token, no de un compromiso de clave privada; al momento de la publicación no se había reportado recuperación.

Por qué importa

Little Boy Plus es otro recordatorio de que el minteo de recompensas sin permisos junto con la contabilidad de reservas de AMM es una combinación peligrosa en BNB Chain: cualquier vía que mintee tokens directamente a un par sin actualizar su reserva registrada entrega al atacante una primitiva gratuita de manipulación de precios. Replica la mecánica de desincronización de reservas del drenaje del token DIP dos días antes, y evoca el patrón de minteo y volcado detrás de Elephant Money y la manipulación de AMM que golpeó a PancakeBunny.