El 28 de mayo de 2023, según la plataforma de conciencia situacional Beosin-Eagle Eye, el contrato JimboController del protocolo Jimbos fue pirateado y el pirata informático obtuvo una ganancia de aproximadamente 7,5 millones de dólares estadounidenses.
Según el sitio web oficial, Jimbos Protocol es un protocolo experimental implementado en Arbitrum "liquidez centralizada receptiva". El token principal $JIMBO lanzado por Jimbos Protocol tiene como objetivo reequilibrar periódicamente la liquidez de su protocolo en diferentes circunstancias para mejorar la eficiencia de la utilización del capital.
Huang Licheng, el hermano de Maji que conocemos, gastó millones de dólares para comprar los tokens de este proyecto hace unos días. Después del ataque, los tokens relacionados también se desplomaron. No sé cómo se siente el hermano Maji ahora.
El equipo de seguridad de Beosin analizó el incidente lo antes posible y ahora comparte los resultados del análisis de la siguiente manera.
Información relacionada con el evento
transacción de ataque
0x44a0f5650a038ab522087c02f734b80e6c748afb207995e757ed67ca037a5eda (uno de ellos)
dirección del atacante
0x102be4bccc2696c35fd5f5bfe54c1dfba416a741
contrato de ataque
0xd4002233b59f7edd726fc6f14303980841306973
contrato atacado
0x271944d9D8CA831F7c0dBCb20C4ee482376d6DE7
Proceso de ataque
Hay múltiples transacciones en este ataque, y usamos una de ellas para el análisis.
El atacante primero presta 10.000 WETH en un préstamo rápido.
El atacante luego usa una gran cantidad de WETH para intercambiar tokens JIMBO para aumentar el precio de JIMBO.
Luego, el atacante transfirió 100 tokens JIMBO al contrato JimboController en preparación para la posterior adición de liquidez (debido a que el precio de JIMBO ha aumentado, solo se necesita una pequeña cantidad de tokens JIMBO para agregar liquidez).
Luego, el atacante llama a la función de cambio, que eliminará la liquidez original y agregará nueva liquidez. Llamar a la función shift tomará los fondos del contrato para agregar liquidez, de modo que todo el WETH del contrato JimboController se agregará a la liquidez.
En este momento, debido a la adición de liquidez en un estado desequilibrado (al agregar liquidez, se basará en el precio actual como base para calcular la cantidad de tokens necesarios, lo que equivale a usar un contrato para recibir pedidos) , para que el atacante pueda obtener más WETH, el atacante finalmente convirtió a JIMBO en WETH para completar la ganancia.
Análisis de vulnerabilidad
Este ataque se aprovecha principalmente de la vulnerabilidad en el contrato de JimboController, que permite que cualquier persona use la función de cambio para que el contrato realice operaciones de eliminación y adición de liquidez, lo que lo convierte en una adquisición de alto nivel.
Seguimiento de fondos
En el momento de escribir este artículo, el atacante no ha transferido los fondos robados y 4048 ETH todavía están en la dirección del ataque:
(
Resumir
En respuesta a este incidente, el equipo de seguridad de Beosin sugirió que: durante el desarrollo del contrato, se debe evitar la inversión en el contrato mediante manipulación externa; antes de que el proyecto entre en funcionamiento, se recomienda elegir una empresa de auditoría de seguridad profesional para realizar una auditoría de seguridad integral para evitar riesgos de seguridad.
Ver originales
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
¿El proyecto que compró el hermano Maji con mucho dinero fue pirateado? Análisis de eventos de ataque del protocolo Jimbos
El 28 de mayo de 2023, según la plataforma de conciencia situacional Beosin-Eagle Eye, el contrato JimboController del protocolo Jimbos fue pirateado y el pirata informático obtuvo una ganancia de aproximadamente 7,5 millones de dólares estadounidenses.
Según el sitio web oficial, Jimbos Protocol es un protocolo experimental implementado en Arbitrum "liquidez centralizada receptiva". El token principal $JIMBO lanzado por Jimbos Protocol tiene como objetivo reequilibrar periódicamente la liquidez de su protocolo en diferentes circunstancias para mejorar la eficiencia de la utilización del capital.
Huang Licheng, el hermano de Maji que conocemos, gastó millones de dólares para comprar los tokens de este proyecto hace unos días. Después del ataque, los tokens relacionados también se desplomaron. No sé cómo se siente el hermano Maji ahora.
El equipo de seguridad de Beosin analizó el incidente lo antes posible y ahora comparte los resultados del análisis de la siguiente manera.
Información relacionada con el evento
transacción de ataque
0x44a0f5650a038ab522087c02f734b80e6c748afb207995e757ed67ca037a5eda (uno de ellos)
dirección del atacante
0x102be4bccc2696c35fd5f5bfe54c1dfba416a741
contrato de ataque
0xd4002233b59f7edd726fc6f14303980841306973
contrato atacado
0x271944d9D8CA831F7c0dBCb20C4ee482376d6DE7
Proceso de ataque
Hay múltiples transacciones en este ataque, y usamos una de ellas para el análisis.
Análisis de vulnerabilidad
Este ataque se aprovecha principalmente de la vulnerabilidad en el contrato de JimboController, que permite que cualquier persona use la función de cambio para que el contrato realice operaciones de eliminación y adición de liquidez, lo que lo convierte en una adquisición de alto nivel.
Seguimiento de fondos
En el momento de escribir este artículo, el atacante no ha transferido los fondos robados y 4048 ETH todavía están en la dirección del ataque:
(
Resumir
En respuesta a este incidente, el equipo de seguridad de Beosin sugirió que: durante el desarrollo del contrato, se debe evitar la inversión en el contrato mediante manipulación externa; antes de que el proyecto entre en funcionamiento, se recomienda elegir una empresa de auditoría de seguridad profesional para realizar una auditoría de seguridad integral para evitar riesgos de seguridad.