28 мая 2023 года, по данным платформы ситуационной осведомленности Beosin-Eagle Eye, контракт JimboController протокола Jimbos был взломан, и хакер получил прибыль в размере около 7,5 млн долларов США.
Согласно официальному сайту, Jimbos Protocol — это экспериментальный протокол, развернутый на Arbitrum «отзывчивая централизованная ликвидность».Основной токен $JIMBO, запущенный Jimbos Protocol, направлен на периодическую перебалансировку ликвидности своего протокола при различных обстоятельствах для повышения эффективности использования капитала.
Знакомый нам брат Маджи Хуан Личэн несколько дней назад потратил миллионы долларов на покупку токенов этого проекта.После атаки связанные с ним токены также резко упали.Не знаю, как сейчас себя чувствует брат Маджи.
Команда безопасности Beosin проанализировала инцидент как можно скорее и теперь делится результатами анализа следующим образом.
Информация, связанная с событием
транзакция атаки
0x44a0f5650a038ab522087c02f734b80e6c748afb207995e757ed67ca037a5eda (один из них)
адрес злоумышленника
0x102be4bccc2696c35fd5f5bfe54c1dfba416a741
контракт на атаку
0xd4002233b59f7edd726fc6f14303980841306973
Атакуемый контракт
0x271944d9D8CA831F7c0dBCb20C4ee482376d6DE7
Процесс атаки
В этой атаке несколько транзакций, и мы используем одну из них для анализа.
Злоумышленник сначала одалживает 10 000 WETH в виде мгновенного кредита.
Затем злоумышленник использует большое количество WETH для обмена токенов JIMBO, чтобы поднять цену JIMBO.
Затем злоумышленник перевел 100 токенов JIMBO в контракт JimboController для подготовки к последующему добавлению ликвидности (поскольку цена JIMBO выросла, для добавления ликвидности необходимо лишь небольшое количество токенов JIMBO).
Затем злоумышленник вызывает функцию сдвига, которая удалит исходную ликвидность и добавит новую ликвидность. Вызов функции сдвига потребует средств контракта для добавления ликвидности, так что все WETH контракта JimboController будут добавлены к ликвидности.
В настоящее время из-за добавления ликвидности в несбалансированное состояние (при добавлении ликвидности будет использоваться текущая цена в качестве основы для расчета необходимого количества токенов, что эквивалентно использованию контракта для получения заказов) , чтобы злоумышленник мог получить больше WETH, злоумышленник, наконец, преобразовал JIMBO в WETH, чтобы получить прибыль.
Анализ уязвимостей
Эта атака в основном использует уязвимость в контракте JimboController, которая позволяет любому использовать функцию сдвига, чтобы заставить контракт выполнять операции удаления и добавления ликвидности, что делает его поглощением на высоком уровне.
Отслеживание средств
На момент написания статьи украденные средства не были выведены злоумышленником, а 4048 ETH все еще находятся в адресе атаки:
(
Подведем итог
В ответ на этот инцидент команда безопасности Beosin предложила: во время разработки контракта следует избегать инвестиций в контракт путем внешних манипуляций; перед запуском проекта рекомендуется выбрать профессиональную аудиторскую компанию для проведения комплексного аудита безопасности. чтобы избежать рисков безопасности.
Посмотреть Оригинал
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Проект, который Брат Маджи купил за большие деньги, был взломан? Анализ событий атаки на протокол Jimbos
28 мая 2023 года, по данным платформы ситуационной осведомленности Beosin-Eagle Eye, контракт JimboController протокола Jimbos был взломан, и хакер получил прибыль в размере около 7,5 млн долларов США.
Согласно официальному сайту, Jimbos Protocol — это экспериментальный протокол, развернутый на Arbitrum «отзывчивая централизованная ликвидность».Основной токен $JIMBO, запущенный Jimbos Protocol, направлен на периодическую перебалансировку ликвидности своего протокола при различных обстоятельствах для повышения эффективности использования капитала.
Знакомый нам брат Маджи Хуан Личэн несколько дней назад потратил миллионы долларов на покупку токенов этого проекта.После атаки связанные с ним токены также резко упали.Не знаю, как сейчас себя чувствует брат Маджи.
Команда безопасности Beosin проанализировала инцидент как можно скорее и теперь делится результатами анализа следующим образом.
Информация, связанная с событием
транзакция атаки
0x44a0f5650a038ab522087c02f734b80e6c748afb207995e757ed67ca037a5eda (один из них)
адрес злоумышленника
0x102be4bccc2696c35fd5f5bfe54c1dfba416a741
контракт на атаку
0xd4002233b59f7edd726fc6f14303980841306973
Атакуемый контракт
0x271944d9D8CA831F7c0dBCb20C4ee482376d6DE7
Процесс атаки
В этой атаке несколько транзакций, и мы используем одну из них для анализа.
Анализ уязвимостей
Эта атака в основном использует уязвимость в контракте JimboController, которая позволяет любому использовать функцию сдвига, чтобы заставить контракт выполнять операции удаления и добавления ликвидности, что делает его поглощением на высоком уровне.
Отслеживание средств
На момент написания статьи украденные средства не были выведены злоумышленником, а 4048 ETH все еще находятся в адресе атаки:
(
Подведем итог
В ответ на этот инцидент команда безопасности Beosin предложила: во время разработки контракта следует избегать инвестиций в контракт путем внешних манипуляций; перед запуском проекта рекомендуется выбрать профессиональную аудиторскую компанию для проведения комплексного аудита безопасности. чтобы избежать рисков безопасности.