28 травня 2023 року, за даними платформи ситуаційної обізнаності Beosin-Eagle Eye, було зламано контракт JimboController протоколу Jimbos, і хакер отримав прибуток у розмірі близько 7,5 мільйонів доларів США.
Згідно з офіційним веб-сайтом, Jimbos Protocol — це експериментальний протокол, розгорнутий на Arbitrum «з адаптивною централізованою ліквідністю».Основний токен $JIMBO, запущений Jimbos Protocol, спрямований на періодичне відновлення балансу ліквідності свого протоколу за різних обставин для підвищення ефективності використання капіталу.
Хуан Лічен, брат знайомого нам Маджі, витратив мільйони доларів на купівлю токенів цього проекту кілька днів тому. Після атаки суміжні токени також різко впали. Я не знаю, як зараз почувається брат Маджі.
Команда безпеки Beosin проаналізувала інцидент якомога швидше, і тепер ділиться результатами аналізу, як описано нижче.
Інформація, пов'язана з подією
атакувати транзакцію
0x44a0f5650a038ab522087c02f734b80e6c748afb207995e757ed67ca037a5eda (один із них)
адресу зловмисника
0x102be4bccc2696c35fd5f5bfe54c1dfba416a741
контракт на атаку
0xd4002233b59f7edd726fc6f14303980841306973
Атакований договір
0x271944d9D8CA831F7c0dBCb20C4ee482376d6DE7
Процес атаки
У цій атаці є кілька транзакцій, і ми використовуємо одну з них для аналізу.
Зловмисник спочатку позичає 10 000 WETH у вигляді швидкої позики.
Потім зловмисник використовує велику кількість WETH для обміну токенів JIMBO, щоб підвищити ціну JIMBO.
Потім зловмисник передав 100 токенів JIMBO в контракт JimboController для підготовки до подальшого додавання ліквідності (оскільки ціна JIMBO зросла, для додавання ліквідності потрібна лише невелика кількість токенів JIMBO).
Потім зловмисник викликає функцію зсуву, яка видаляє початкову ліквідність і додає нову ліквідність. Виклик функції shift забере кошти контракту для додавання ліквідності, так що всі WETH контракту JimboController будуть додані до ліквідності.
У цей час через додавання ліквідності в незбалансованому стані (під час додавання ліквідності він буде спиратися на поточну ціну як основу для розрахунку необхідної кількості токенів, що еквівалентно використанню контракту для отримання замовлень) , щоб зловмисник міг отримати більше WETH, зловмисник нарешті перетворив JIMBO на WETH, щоб завершити прибуток.
Аналіз вразливості
Ця атака в основному використовує вразливість у контракті JimboController, яка дозволяє будь-кому використовувати функцію shift, щоб змусити контракт виконувати операції видалення та додавання ліквідності, що робить його захопленням на високому рівні.
Відстеження коштів
На момент написання статті вкрадені кошти не були переведені зловмисником, і 4048 ETH все ще знаходяться на адресі атаки:
(
Підведіть підсумки
У відповідь на цей інцидент команда безпеки Beosin запропонувала: під час розробки контракту слід уникати інвестування в контракт шляхом зовнішніх маніпуляцій; перед запуском проекту рекомендується вибрати професійну компанію з аудиту безпеки для проведення комплексного аудиту безпеки щоб уникнути ризиків безпеки.
Переглянути оригінал
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Проект, який брат Маджі купив за великі гроші, зламали? Аналіз подій атаки на протокол Jimbos
28 травня 2023 року, за даними платформи ситуаційної обізнаності Beosin-Eagle Eye, було зламано контракт JimboController протоколу Jimbos, і хакер отримав прибуток у розмірі близько 7,5 мільйонів доларів США.
Згідно з офіційним веб-сайтом, Jimbos Protocol — це експериментальний протокол, розгорнутий на Arbitrum «з адаптивною централізованою ліквідністю».Основний токен $JIMBO, запущений Jimbos Protocol, спрямований на періодичне відновлення балансу ліквідності свого протоколу за різних обставин для підвищення ефективності використання капіталу.
Хуан Лічен, брат знайомого нам Маджі, витратив мільйони доларів на купівлю токенів цього проекту кілька днів тому. Після атаки суміжні токени також різко впали. Я не знаю, як зараз почувається брат Маджі.
Команда безпеки Beosin проаналізувала інцидент якомога швидше, і тепер ділиться результатами аналізу, як описано нижче.
Інформація, пов'язана з подією
атакувати транзакцію
0x44a0f5650a038ab522087c02f734b80e6c748afb207995e757ed67ca037a5eda (один із них)
адресу зловмисника
0x102be4bccc2696c35fd5f5bfe54c1dfba416a741
контракт на атаку
0xd4002233b59f7edd726fc6f14303980841306973
Атакований договір
0x271944d9D8CA831F7c0dBCb20C4ee482376d6DE7
Процес атаки
У цій атаці є кілька транзакцій, і ми використовуємо одну з них для аналізу.
Аналіз вразливості
Ця атака в основному використовує вразливість у контракті JimboController, яка дозволяє будь-кому використовувати функцію shift, щоб змусити контракт виконувати операції видалення та додавання ліквідності, що робить його захопленням на високому рівні.
Відстеження коштів
На момент написання статті вкрадені кошти не були переведені зловмисником, і 4048 ETH все ще знаходяться на адресі атаки:
(
Підведіть підсумки
У відповідь на цей інцидент команда безпеки Beosin запропонувала: під час розробки контракту слід уникати інвестування в контракт шляхом зовнішніх маніпуляцій; перед запуском проекту рекомендується вибрати професійну компанію з аудиту безпеки для проведення комплексного аудиту безпеки щоб уникнути ризиків безпеки.