Le 28 mai 2023, selon la plateforme de connaissance de la situation Beosin-Eagle Eye, le contrat JimboController du protocole Jimbos a été piraté et le pirate a réalisé un bénéfice d'environ 7,5 millions de dollars américains.
Selon le site officiel, Jimbos Protocol est un protocole expérimental déployé sur Arbitrum "liquidité centralisée réactive".Le jeton principal $JIMBO lancé par Jimbos Protocol vise à rééquilibrer périodiquement la liquidité de son protocole dans différentes circonstances pour améliorer l'efficacité de l'utilisation du capital.
Huang Licheng, le frère de Maji que nous connaissons, a dépensé des millions de dollars pour acheter les jetons de ce projet il y a quelques jours. Après l'attaque, les jetons associés ont également chuté. Je ne sais pas comment se sent le frère Maji maintenant.
L'équipe de sécurité de Beosin a analysé l'incident dès que possible et partage maintenant les résultats de l'analyse comme suit.
Il y a plusieurs transactions dans cette attaque, et nous en utilisons une pour l'analyse.
L'attaquant prête d'abord 10 000 WETH dans un prêt flash.
![Le projet que frère Maji a acheté avec beaucoup d'argent a été piraté ? Analyse de l'événement d'attaque du protocole Jimbos] (https://img.gateio.im/social/moments-69a80767fe-567b729fc8-dd1a6f-e5a980)
L'attaquant utilise ensuite une grande quantité de WETH pour échanger des jetons JIMBO afin de faire grimper le prix de JIMBO.
![Le projet que frère Maji a acheté avec beaucoup d'argent a été piraté ? Analyse des événements d'attaque du protocole Jimbos] (https://img.gateio.im/social/moments-69a80767fe-2801aeccae-dd1a6f-e5a980)
Ensuite, l'attaquant a transféré 100 jetons JIMBO au contrat JimboController en vue de l'ajout ultérieur de liquidités (parce que le prix de JIMBO a augmenté, seule une petite quantité de jetons JIMBO est nécessaire pour ajouter de la liquidité).
![Le projet que frère Maji a acheté avec beaucoup d'argent a été piraté ? Analyse des événements d'attaque du protocole Jimbos] (https://img.gateio.im/social/moments-69a80767fe-8e448b5f79-dd1a6f-e5a980)
Ensuite, l'attaquant appelle la fonction de décalage, qui supprimera la liquidité d'origine et en ajoutera une nouvelle. L'appel de la fonction de décalage prendra les fonds du contrat pour ajouter de la liquidité, de sorte que tout le WETH du contrat JimboController sera ajouté à la liquidité.
![Le projet que frère Maji a acheté avec beaucoup d'argent a été piraté ? Analyse des événements d'attaque du protocole Jimbos] (https://img.gateio.im/social/moments-69a80767fe-a539e87f10-dd1a6f-e5a980)
![Le projet que frère Maji a acheté avec beaucoup d'argent a été piraté ? Analyse des événements d'attaque du protocole Jimbos] (https://img.gateio.im/social/moments-69a80767fe-5c125a9f48-dd1a6f-e5a980)
À l'heure actuelle, en raison de l'ajout de liquidité dans un état déséquilibré (lors de l'ajout de liquidité, il s'appuiera sur le prix actuel comme base pour calculer le nombre de jetons requis, ce qui équivaut à utiliser un contrat pour recevoir des commandes) , afin que l'attaquant puisse obtenir plus de WETH, l'attaquant a finalement converti JIMBO en WETH pour compléter le profit.
![Le projet que frère Maji a acheté avec beaucoup d'argent a été piraté ? Analyse des événements d'attaque du protocole Jimbos] (https://img.gateio.im/social/moments-69a80767fe-907eb615cd-dd1a6f-e5a980)
Analyse de vulnérabilité
Cette attaque tire principalement parti de la vulnérabilité du contrat JimboController, qui permet à quiconque d'utiliser la fonction de décalage pour que le contrat effectue des opérations de suppression et d'ajout de liquidité, ce qui en fait une prise de contrôle de haut niveau.
![Le projet que frère Maji a acheté avec beaucoup d'argent a été piraté ? Analyse des événements d'attaque du protocole Jimbos] (https://img.gateio.im/social/moments-69a80767fe-29867b62cb-dd1a6f-e5a980)
Suivi des fonds
Au moment de la rédaction de cet article, les fonds volés n'ont pas été transférés par l'attaquant et 4048 ETH sont toujours à l'adresse d'attaque :
(
![Le projet que frère Maji a acheté avec beaucoup d'argent a été piraté ? Analyse des événements d'attaque du protocole Jimbos] (https://img.gateio.im/social/moments-69a80767fe-bb95b97984-dd1a6f-e5a980)
Résumer
En réponse à cet incident, l'équipe de sécurité de Beosin a suggéré que : lors de l'élaboration du contrat, l'investissement dans le contrat doit être évité par une manipulation externe ; avant la mise en service du projet, il est recommandé de choisir une société d'audit de sécurité professionnelle pour effectuer un audit de sécurité complet pour éviter les risques de sécurité.
Voir l'original
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Le projet que frère Maji a acheté avec beaucoup d'argent a été piraté ? Analyse des événements d'attaque du protocole Jimbos
Le 28 mai 2023, selon la plateforme de connaissance de la situation Beosin-Eagle Eye, le contrat JimboController du protocole Jimbos a été piraté et le pirate a réalisé un bénéfice d'environ 7,5 millions de dollars américains.
Selon le site officiel, Jimbos Protocol est un protocole expérimental déployé sur Arbitrum "liquidité centralisée réactive".Le jeton principal $JIMBO lancé par Jimbos Protocol vise à rééquilibrer périodiquement la liquidité de son protocole dans différentes circonstances pour améliorer l'efficacité de l'utilisation du capital.
Huang Licheng, le frère de Maji que nous connaissons, a dépensé des millions de dollars pour acheter les jetons de ce projet il y a quelques jours. Après l'attaque, les jetons associés ont également chuté. Je ne sais pas comment se sent le frère Maji maintenant.
L'équipe de sécurité de Beosin a analysé l'incident dès que possible et partage maintenant les résultats de l'analyse comme suit.
Informations relatives à l'événement
transaction d'attaque
0x44a0f5650a038ab522087c02f734b80e6c748afb207995e757ed67ca037a5eda (l'un d'eux)
adresse de l'attaquant
0x102be4bccc2696c35fd5f5bfe54c1dfba416a741
contrat d'attaque
0xd4002233b59f7edd726fc6f14303980841306973
Contrat attaqué
0x271944d9D8CA831F7c0dBCb20C4ee482376d6DE7
Processus d'attaque
Il y a plusieurs transactions dans cette attaque, et nous en utilisons une pour l'analyse.
![Le projet que frère Maji a acheté avec beaucoup d'argent a été piraté ? Analyse de l'événement d'attaque du protocole Jimbos] (https://img.gateio.im/social/moments-69a80767fe-567b729fc8-dd1a6f-e5a980)
![Le projet que frère Maji a acheté avec beaucoup d'argent a été piraté ? Analyse des événements d'attaque du protocole Jimbos] (https://img.gateio.im/social/moments-69a80767fe-2801aeccae-dd1a6f-e5a980)
![Le projet que frère Maji a acheté avec beaucoup d'argent a été piraté ? Analyse des événements d'attaque du protocole Jimbos] (https://img.gateio.im/social/moments-69a80767fe-8e448b5f79-dd1a6f-e5a980)
![Le projet que frère Maji a acheté avec beaucoup d'argent a été piraté ? Analyse des événements d'attaque du protocole Jimbos] (https://img.gateio.im/social/moments-69a80767fe-a539e87f10-dd1a6f-e5a980)
![Le projet que frère Maji a acheté avec beaucoup d'argent a été piraté ? Analyse des événements d'attaque du protocole Jimbos] (https://img.gateio.im/social/moments-69a80767fe-5c125a9f48-dd1a6f-e5a980)
![Le projet que frère Maji a acheté avec beaucoup d'argent a été piraté ? Analyse des événements d'attaque du protocole Jimbos] (https://img.gateio.im/social/moments-69a80767fe-907eb615cd-dd1a6f-e5a980)
Analyse de vulnérabilité
Cette attaque tire principalement parti de la vulnérabilité du contrat JimboController, qui permet à quiconque d'utiliser la fonction de décalage pour que le contrat effectue des opérations de suppression et d'ajout de liquidité, ce qui en fait une prise de contrôle de haut niveau.
![Le projet que frère Maji a acheté avec beaucoup d'argent a été piraté ? Analyse des événements d'attaque du protocole Jimbos] (https://img.gateio.im/social/moments-69a80767fe-29867b62cb-dd1a6f-e5a980)
Suivi des fonds
Au moment de la rédaction de cet article, les fonds volés n'ont pas été transférés par l'attaquant et 4048 ETH sont toujours à l'adresse d'attaque :
(
![Le projet que frère Maji a acheté avec beaucoup d'argent a été piraté ? Analyse des événements d'attaque du protocole Jimbos] (https://img.gateio.im/social/moments-69a80767fe-bb95b97984-dd1a6f-e5a980)
Résumer
En réponse à cet incident, l'équipe de sécurité de Beosin a suggéré que : lors de l'élaboration du contrat, l'investissement dans le contrat doit être évité par une manipulation externe ; avant la mise en service du projet, il est recommandé de choisir une société d'audit de sécurité professionnelle pour effectuer un audit de sécurité complet pour éviter les risques de sécurité.