تنبيه من شركة SlowMist: تم اختراق بروتوكول Little Boy Plus على BSC، وتم سحب 377642 USDT بالكامل

أصدرت شركة أمان البلوك تشين SlowMist ( بطيئة الضباب ) في 18 يونيو بيان TI Alert، رصدت فيه تعرض بروتوكول التنقيب عبر DeFi Little Boy Plus على سلسلة BSC لهجوم من قِبل قراصنة، ما تسبب بخسارة تقارب 377,642 USDT (نحو 610.555 BNB). ويقول SlowMist إن ثغرة هذا الهجوم موجودة في دالة LBPHashrate._update().

جذر الثغرة: دالة LBPHashrate._update() يمكن تجاوز التحقق من الصلاحيات عبر transferFrom بقيمة صفر

（المصدر: Etherscan）

استناداً إلى التحليل التقني من SlowMist، فإن جوهر الثغرة كالتالي: لا يحتاج المهاجم إلى الحصول على أي تفويض من الشريك (pair)، إذ يمكنه استدعاء LBPHashrate.transferFrom(pair, DEAD, 0) (تحويل بقيمة صفر) مباشرةً. لا يتضمن هذا الاستدعاء أي تحويل فعلية لأصول، لكنه يتجاوز آلية التحقق من التفويض (allowance) الخاصة بـ OpenZeppelin، كما يؤدي إلى تشغيل الدالة الداخلية _harvest(pair).

مسار تنفيذ الهجوم: من استدعاء بقيمة صفر إلى سحب USDT بالكامل عبر PancakePair.swap()

وفقاً لتحليل SlowMist، يتبع تنفيذ الهجوم التسلسل التالي: بعد تشغيل _harvest(pair)، تستدعي الدالة LBP.mintReward(pair, reward)، حيث يتم سك رموز LBP مباشرةً إلى عنوان مجمع السيولة الخاص بـ PancakeSwap.

يزيد هذا السك المجاني من رصيد الشريك على مستوى السجلات، لكنه لا يرفع الاحتياطيات الفعلية بشكل متزامن، ما يسبب خللاً في توازن السعر داخل مجمع السيولة. بعدها يستخدم المهاجم دالة PancakePair.swap() لاستخراج كامل USDT من المجمع، وذلك استناداً إلى معدل التحويل الوهمي الناتج عن هذا الخلل، وبذلك يكتمل الهجوم.

الأسئلة الشائعة

ما السبب الجذري لهذا الهجوم؟

استناداً إلى التحليل التقني من SlowMist، يتمثل السبب الجذري في وجود عيب في منطق معالجة دالة LBPHashrate._update() لاستدعاءات transferFrom بقيمة صفر، ما يتيح لأي شخص تشغيل دالة _harvest() دون امتلاك أي تفويض، وبالتالي يؤدي إلى سك غير مصرح به لرموز LBP. ويُعد هذا خللاً في منطق الأعمال لعقد ذكي، وليس مشكلة في الخوارزميات التشفيرية.

لماذا اختار المهاجم transferFrom بقيمة صفر كمدخل للهجوم؟

بحسب توضيح SlowMist، فإن آلية التحقق القياسية من التفويض في OpenZeppelin تُشغَّل عادةً فقط عندما تكون قيمة التحويل أكبر من صفر. يلتف تحويل بقيمة صفر على هذا القيد، ما يمكّن المهاجم من استدعاء الدوال الداخلية دون امتلاك أي رموز أو تفويضات، وهذه هي نقطة الاختراق الأساسية في الهجوم.

ما مصدر الأرقام المحددة لحجم الخسائر؟

تستند أرقام الخسارة إلى بيان SlowMist TI Alert الذي نشرته SlowMist في 18 يونيو 2026 على منصة X (تويتر سابقاً)، حيث تبلغ الأرقام الدقيقة ~377,642 USDT ( ~610.555 BNB )، وقد تم التحقق منها عبر أدوات رصد السلسلة على-الخط من SlowMist.