20250620 - Bonding 攻击事件: 项目方不创建的池子由我攻击者来创建背景信息 本次攻击涉及 Bonding 和 LBM 两种代币,用户可以通过 Bonding.buy() 用 USDC 购买 Bonding,当 Bonding 合约中的 USDC 累积超过一定阈值时会触发回购机制将 USDC 兑换成 LBM,随后向 [Bonding, LBM] pool 添加流动性。 造成本次攻击的原因是添加流动性所采用的 pool 并未提前创建(代码逻辑是第一次触发时不存在则创建),攻击者先创建了比例失衡的恶意 [Bonding, LBM] pool。然后通过闪电贷大量的 USDC 来