loading...
此次攻击由F12sec监测发现,攻击者地址为0x5449ded887576f43fc339851e942ebc1e6f8118b。链上活动显示,攻击者在交易过程中使用了闪电贷流动性,随后通过BNB链交易池套现。
这一事件使本周本已频繁的合约级漏洞利用雪上加霜。Aztec旧版私密 rollup 桥也在另一起攻击中损失了1158 ETH,表明那些老旧或监测较弱的合约中存留的活期余额,一旦存在可被调用的暴露提款路径或会计漏洞,便可能迅速沦为攻击目标。
LittleBoyPlus攻击者利用借入的流动性扩大了交易规模,而无需预先持有全额资金。闪电贷在同一笔交易内偿还,因此常被用于套利、清算以及能在交易结束前产生利润的漏洞利用流程。
在此事件中,借入的资金帮助攻击者穿透了目标项目的流动性结构,触发了合约中的漏洞行为,并将收益集中兑换为BNB。闪电贷放大了交易规模,但损失根源在于项目自身的逻辑缺陷——该漏洞使攻击者能够制造流动性失衡并从中获利。
这一区别至关重要。公共DEX流动性往往成为此类攻击的退出通道,而真正的弱点存在于项目自身的代币合约、奖励机制、转账规则或流动性设计中。
LittleBoyPlus加入了一长串因自定义代币或流动性机制而遭受攻击的BNB链项目。近期AROS攻击在BNB链上卷走了约29.5万美元,而BCE-USDT的PancakeSwap池因代币侧行为扭曲了池子定价,损失约67.9万美元。
攻击模式如出一辙:攻击者瞄准特定合约路径,借助临时资金放大机会,然后利用可用流动性抽走价值,待市场反应过来时早已得手。
截至撰稿时,尚未有确认的追回、白帽谈判或补偿方案公布。攻击者地址仍是追踪资金后续动向的主要线索。
LittleBoyPlus的当务之急是确保剩余流动性安全,确认同一漏洞路径是否仍可被触发,并向用户提供关于合约、流动性池及余额风险的明确指引。
此次六位数美元的损失低于今年最大的DeFi事件,但它清晰地表明:当合约边缘案例遇上闪电贷资金时,监测薄弱的流动性池会以多快的速度被抽干。对于BNB链用户而言,下一个信号是资金是否从攻击者地址流入混币器、跨链桥或交易所,以及项目方能否在后续攻击尝试前堵住漏洞路径。
389
502
916
766
585
976
174
620
1016
173
