LittleBoyPlus铸造漏洞抽干BNB链流动性，损失37.7万美元

币安Binance

币安交易所是全球加密货币交易所龙头，在手机上即可买卖比特币等数字货币！

官网注册  APP下载

小霸王Plus在BNB链上遭利用，安全监测估计损失约37.7万美元（约610 BNB）

此次攻击由F12sec监测发现，攻击者地址为0x5449ded887576f43fc339851e942ebc1e6f8118b。链上活动显示，攻击者在交易过程中使用了闪电贷流动性，随后通过BNB链交易池套现。

这一事件使本周本已频繁的合约级漏洞利用雪上加霜。Aztec旧版私密 rollup 桥也在另一起攻击中损失了1158 ETH，表明那些老旧或监测较弱的合约中存留的活期余额，一旦存在可被调用的暴露提款路径或会计漏洞，便可能迅速沦为攻击目标。

闪电贷助长了攻击规模

LittleBoyPlus攻击者利用借入的流动性扩大了交易规模，而无需预先持有全额资金。闪电贷在同一笔交易内偿还，因此常被用于套利、清算以及能在交易结束前产生利润的漏洞利用流程。

在此事件中，借入的资金帮助攻击者穿透了目标项目的流动性结构，触发了合约中的漏洞行为，并将收益集中兑换为BNB。闪电贷放大了交易规模，但损失根源在于项目自身的逻辑缺陷——该漏洞使攻击者能够制造流动性失衡并从中获利。

这一区别至关重要。公共DEX流动性往往成为此类攻击的退出通道，而真正的弱点存在于项目自身的代币合约、奖励机制、转账规则或流动性设计中。

BNB链上的小型流动性池持续承压

LittleBoyPlus加入了一长串因自定义代币或流动性机制而遭受攻击的BNB链项目。近期AROS攻击在BNB链上卷走了约29.5万美元，而BCE-USDT的PancakeSwap池因代币侧行为扭曲了池子定价，损失约67.9万美元。

攻击模式如出一辙：攻击者瞄准特定合约路径，借助临时资金放大机会，然后利用可用流动性抽走价值，待市场反应过来时早已得手。

恢复进展尚不明确

截至撰稿时，尚未有确认的追回、白帽谈判或补偿方案公布。攻击者地址仍是追踪资金后续动向的主要线索。

LittleBoyPlus的当务之急是确保剩余流动性安全，确认同一漏洞路径是否仍可被触发，并向用户提供关于合约、流动性池及余额风险的明确指引。

此次六位数美元的损失低于今年最大的DeFi事件，但它清晰地表明：当合约边缘案例遇上闪电贷资金时，监测薄弱的流动性池会以多快的速度被抽干。对于BNB链用户而言，下一个信号是资金是否从攻击者地址流入混币器、跨链桥或交易所，以及项目方能否在后续攻击尝试前堵住漏洞路径。