Pada 28 Mei 2023, menurut platform kesadaran situasional Beosin-Eagle Eye, kontrak JimboController dari protokol Jimbos diretas, dan peretas mendapat untung sekitar 7,5 juta dolar AS.
Menurut situs web resmi, Jimbos Protocol adalah protokol eksperimental yang digunakan pada Arbitrum "likuiditas terpusat yang responsif". Token utama $JIMBO yang diluncurkan oleh Jimbos Protocol bertujuan untuk menyeimbangkan kembali likuiditas protokolnya secara berkala dalam keadaan yang berbeda untuk meningkatkan efisiensi penggunaan modal.
Huang Licheng, saudara laki-laki Maji yang kita kenal, menghabiskan jutaan dolar untuk membeli token proyek ini beberapa hari yang lalu. Setelah penyerangan, token terkait juga anjlok. Saya tidak tahu bagaimana perasaan saudara Maji sekarang.
Tim keamanan Beosin menganalisis insiden tersebut sesegera mungkin, dan sekarang membagikan hasil analisisnya sebagai berikut.
Ada banyak transaksi dalam serangan ini, dan kami menggunakan salah satunya untuk analisis.
Penyerang pertama-tama meminjamkan 10.000 WETH dalam pinjaman kilat.
Penyerang kemudian menggunakan WETH dalam jumlah besar untuk menukar token JIMBO untuk menaikkan harga JIMBO.
Kemudian penyerang mentransfer 100 token JIMBO ke kontrak JimboController untuk persiapan penambahan likuiditas berikutnya (karena harga JIMBO naik, hanya diperlukan sedikit token JIMBO untuk menambah likuiditas).
Kemudian penyerang memanggil fungsi shift, yang akan menghapus likuiditas asli dan menambah likuiditas baru. Memanggil fungsi shift akan mengambil dana kontrak untuk menambah likuiditas, sehingga semua WETH dari kontrak JimboController akan ditambahkan ke likuiditas.
Saat ini, karena penambahan likuiditas dalam keadaan tidak seimbang (saat menambahkan likuiditas, akan mengandalkan harga saat ini sebagai dasar untuk menghitung jumlah token yang diperlukan, yang setara dengan menggunakan kontrak untuk menerima pesanan) , agar penyerang bisa mendapatkan lebih banyak WETH, penyerang akhirnya mengonversi JIMBO menjadi WETH untuk menyelesaikan keuntungan.
Analisis kerentanan
Serangan ini terutama memanfaatkan kerentanan dalam kontrak JimboController, yang memungkinkan siapa saja menggunakan fungsi shift untuk membuat kontrak melakukan operasi penghapusan dan penambahan likuiditas, sehingga dapat menerima pesanan pada tingkat tinggi.
Pelacakan Dana
Pada saat penulisan, dana yang dicuri belum ditransfer oleh penyerang, dan 4048 ETH masih berada di alamat serangan:
(
Ringkas
Menanggapi kejadian ini, tim keamanan Beosin menyarankan bahwa: selama pengembangan kontrak, investasi dalam kontrak harus dihindari dengan manipulasi eksternal; sebelum proyek ditayangkan, disarankan untuk memilih perusahaan audit keamanan profesional untuk melakukan audit keamanan yang komprehensif untuk menghindari risiko keamanan.
Lihat Asli
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Proyek yang dibeli Kak Maji dengan uang banyak diretas? Menganalisis peristiwa serangan protokol Jimbos
Pada 28 Mei 2023, menurut platform kesadaran situasional Beosin-Eagle Eye, kontrak JimboController dari protokol Jimbos diretas, dan peretas mendapat untung sekitar 7,5 juta dolar AS.
Menurut situs web resmi, Jimbos Protocol adalah protokol eksperimental yang digunakan pada Arbitrum "likuiditas terpusat yang responsif". Token utama $JIMBO yang diluncurkan oleh Jimbos Protocol bertujuan untuk menyeimbangkan kembali likuiditas protokolnya secara berkala dalam keadaan yang berbeda untuk meningkatkan efisiensi penggunaan modal.
Huang Licheng, saudara laki-laki Maji yang kita kenal, menghabiskan jutaan dolar untuk membeli token proyek ini beberapa hari yang lalu. Setelah penyerangan, token terkait juga anjlok. Saya tidak tahu bagaimana perasaan saudara Maji sekarang.
Tim keamanan Beosin menganalisis insiden tersebut sesegera mungkin, dan sekarang membagikan hasil analisisnya sebagai berikut.
Informasi terkait acara
transaksi serangan
0x44a0f5650a038ab522087c02f734b80e6c748afb207995e757ed67ca037a5eda (salah satunya)
alamat penyerang
0x102be4bccc2696c35fd5f5bfe54c1dfba416a741
kontrak serangan
0xd4002233b59f7edd726fc6f14303980841306973
Kontrak yang diserang
0x271944d9D8CA831F7c0dBCb20C4ee482376d6DE7
Proses penyerangan
Ada banyak transaksi dalam serangan ini, dan kami menggunakan salah satunya untuk analisis.
Analisis kerentanan
Serangan ini terutama memanfaatkan kerentanan dalam kontrak JimboController, yang memungkinkan siapa saja menggunakan fungsi shift untuk membuat kontrak melakukan operasi penghapusan dan penambahan likuiditas, sehingga dapat menerima pesanan pada tingkat tinggi.
Pelacakan Dana
Pada saat penulisan, dana yang dicuri belum ditransfer oleh penyerang, dan 4048 ETH masih berada di alamat serangan:
(
Ringkas
Menanggapi kejadian ini, tim keamanan Beosin menyarankan bahwa: selama pengembangan kontrak, investasi dalam kontrak harus dihindari dengan manipulasi eksternal; sebelum proyek ditayangkan, disarankan untuk memilih perusahaan audit keamanan profesional untuk melakukan audit keamanan yang komprehensif untuk menghindari risiko keamanan.