Aller au contenu
Fondé MMXXVIVol. VI · № 296RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 295Bug de smart contract

Drain par mint non autorisé de Little Boy Plus

Un transferFrom de valeur nulle a contourné l'allowance et déclenché un mint de récompense non autorisé vers la paire PancakeSwap, drainant environ 378 000 $ de Little Boy Plus.

Date
Victime
Little Boy Plus
Chaîne(s)
BNB Chain
Statut
Fonds dérobés
Attribution
0x5449ded887576f43fc339851e942ebc1e6f8118b

Le 18 juin 2026, Little Boy Plus (LBP) a été exploité sur BNB Chain pour environ 378 000 dollars — soit près de 377 642 USDT (environ 610,555 BNB) — via une faille de mint non autorisé signalée par la société de sécurité SlowMist.

Ce qui s'est passé

La cause racine se trouvait dans la logique de récompense LBPHashrate._update(), qui pouvait être déclenchée par des appels transferFrom de valeur nulle contournant la vérification d'allowance d'OpenZeppelin. L'attaquant a appelé LBPHashrate.transferFrom(pair, DEAD, 0) sans l'autorisation de la paire, ce qui a invoqué _harvest(pair) et minté de nouveaux LBP directement vers l'adresse PancakePair via LBP.mintReward(pair, reward). Les tokens fraîchement mintés ont augmenté le solde LBP de la paire mais pas sa réserve enregistrée, ouvrant un écart entre le solde réel et la réserve comptabilisée. En utilisant la liquidité d'un flash loan pour dimensionner l'opération, l'attaquant a ensuite appelé PancakePair.swap() pour drainer les USDT du pool contre la réserve désynchronisée, avant de retirer ses gains via des pools de trading de BNB Chain. Les moniteurs on-chain ont identifié l'attaquant comme 0x5449ded887576f43fc339851e942ebc1e6f8118b.

Conséquences

SlowMist a chiffré la perte à environ 377 642 USDT. L'exploit découlait de la logique de mint et d'allowance du token lui-même, et non d'une compromission de clé privée ; aucune restitution n'avait été signalée à la publication.

Pourquoi c'est important

Little Boy Plus rappelle une fois de plus que le mint de récompenses sans permission combiné à la comptabilité de réserves d'AMM est une association dangereuse sur BNB Chain : tout chemin qui minte des tokens directement dans une paire sans mettre à jour sa réserve enregistrée offre à un attaquant une primitive gratuite de manipulation de prix. Cela reproduit la mécanique de désynchronisation de réserves du drain du token DIP deux jours plus tôt, et fait écho au schéma de mint-and-dump derrière Elephant Money ainsi qu'à la manipulation d'AMM qui a frappé PancakeBunny.

Sources & preuves on-chain

  1. [01]cryptotimes.iohttps://www.cryptotimes.io/2026/06/18/little-boy-plus-loses-377k-after-exploit-targets-minting-bug/
  2. [02]panewslab.comhttps://www.panewslab.com/en/articles/019ed87f-1642-7671-ba1f-85dc4e6316a8

Dépôts liés