币圈界报道，6月18日，据慢雾监测，BSC上DeFi挖矿协议Little Boy Plus遭黑客攻击，损失约37万美元资金（约610.555枚BNB）。原因为 `LBPHashrate._update（）` 函数（位于 `0x5e3c...85fe`）被零值 `transferFrom` 调用触发，绕过了OpenZeppelin的授权检查。这允许攻击者未经pair授权调用 `LBPHashrate.transferFrom（pair, DEAD, 0）`，从而触发 `_harvest（pair）`，该函数通过 `LBP.mintReward（pair, reward）` 直接向PancakePair地址铸造LBP代币。铸造的LBP增加了pair的余额但未增加其储备，从而使攻击者能够通过 `PancakePair.swap（）` 抽干USDT。