Em 28 de maio de 2023, de acordo com a plataforma de conscientização situacional Beosin-Eagle Eye, o contrato JimboController do protocolo Jimbos foi hackeado e o hacker obteve um lucro de cerca de 7,5 milhões de dólares americanos.
De acordo com o site oficial, Jimbos Protocol é um protocolo experimental implantado na Arbitrum "liquidez centralizada responsiva".
Huang Licheng, o irmão de Maji que conhecemos, gastou milhões de dólares para comprar os tokens deste projeto há alguns dias. Após o ataque, os tokens relacionados também despencaram. Não sei como o irmão Maji se sente agora.
A equipe de segurança do Beosin analisou o incidente o mais rápido possível e agora compartilha os resultados da análise da seguinte forma.
Existem várias transações neste ataque e usamos uma delas para análise.
O invasor primeiro empresta 10.000 WETH em um empréstimo rápido.
O invasor então usa uma grande quantidade de WETH para trocar tokens JIMBO para aumentar o preço do JIMBO.
Em seguida, o invasor transferiu 100 tokens JIMBO para o contrato JimboController em preparação para a subsequente adição de liquidez (como o preço do JIMBO aumentou, apenas uma pequena quantidade de tokens JIMBO é necessária para adicionar liquidez).
Em seguida, o invasor chama a função shift, que removerá a liquidez original e adicionará nova liquidez. Chamar a função shift levará os fundos do contrato para adicionar liquidez, de modo que todo o WETH do contrato JimboController seja adicionado à liquidez.
Neste momento, devido à adição de liquidez em estado desequilibrado (ao adicionar liquidez, terá como base o preço atual para calcular o número de tokens necessários, o que equivale a usar um contrato para receber pedidos) , para que o atacante possa obter mais WETH, o atacante finalmente converteu JIMBO em WETH para completar o lucro.
Análise de Vulnerabilidade
Este ataque se aproveita principalmente da vulnerabilidade do contrato JimboController, que permite a qualquer pessoa utilizar a função shift para fazer com que o contrato realize operações de remoção e adição de liquidez, tornando-o um takeover de alto nível.
Rastreamento de fundos
No momento da redação deste artigo, os fundos roubados não foram transferidos pelo invasor e 4048 ETH ainda estão no endereço do ataque:
(
Resumir
Em resposta a este incidente, a equipe de segurança da Beosin sugeriu que: durante o desenvolvimento do contrato, o investimento no contrato deve ser evitado por manipulação externa; antes que o projeto seja lançado, é recomendável escolher uma empresa de auditoria de segurança profissional para realizar uma auditoria de segurança abrangente para evitar riscos de segurança.
Ver original
O conteúdo é apenas para referência, não uma solicitação ou oferta. Nenhum aconselhamento fiscal, de investimento ou jurídico é fornecido. Consulte a isenção de responsabilidade para obter mais informações sobre riscos.
O projeto que o irmão Maji comprou com muito dinheiro foi hackeado? Analisando eventos de ataque do protocolo Jimbos
Em 28 de maio de 2023, de acordo com a plataforma de conscientização situacional Beosin-Eagle Eye, o contrato JimboController do protocolo Jimbos foi hackeado e o hacker obteve um lucro de cerca de 7,5 milhões de dólares americanos.
De acordo com o site oficial, Jimbos Protocol é um protocolo experimental implantado na Arbitrum "liquidez centralizada responsiva".
Huang Licheng, o irmão de Maji que conhecemos, gastou milhões de dólares para comprar os tokens deste projeto há alguns dias. Após o ataque, os tokens relacionados também despencaram. Não sei como o irmão Maji se sente agora.
A equipe de segurança do Beosin analisou o incidente o mais rápido possível e agora compartilha os resultados da análise da seguinte forma.
Informações relacionadas ao evento
transação de ataque
0x44a0f5650a038ab522087c02f734b80e6c748afb207995e757ed67ca037a5eda (um deles)
endereço do atacante
0x102be4bccc2696c35fd5f5bfe54c1dfba416a741
contrato de ataque
0xd4002233b59f7edd726fc6f14303980841306973
contrato atacado
0x271944d9D8CA831F7c0dBCb20C4ee482376d6DE7
Processo de ataque
Existem várias transações neste ataque e usamos uma delas para análise.
Análise de Vulnerabilidade
Este ataque se aproveita principalmente da vulnerabilidade do contrato JimboController, que permite a qualquer pessoa utilizar a função shift para fazer com que o contrato realize operações de remoção e adição de liquidez, tornando-o um takeover de alto nível.
Rastreamento de fundos
No momento da redação deste artigo, os fundos roubados não foram transferidos pelo invasor e 4048 ETH ainda estão no endereço do ataque:
(
Resumir
Em resposta a este incidente, a equipe de segurança da Beosin sugeriu que: durante o desenvolvimento do contrato, o investimento no contrato deve ser evitado por manipulação externa; antes que o projeto seja lançado, é recomendável escolher uma empresa de auditoria de segurança profissional para realizar uma auditoria de segurança abrangente para evitar riscos de segurança.