Beosin-Eagle Eye durumsal farkındalık platformuna göre 28 Mayıs 2023'te Jimbos protokolünün JimboController sözleşmesi hacklendi ve hacker yaklaşık 7,5 milyon ABD doları kar elde etti.
Resmi web sitesine göre Jimbos Protokolü, Arbitrum "duyarlı merkezi likidite" üzerinde konuşlandırılmış deneysel bir protokoldür. Jimbos Protokolü tarafından başlatılan ana token $JIMBO, sermaye kullanımının verimliliğini artırmak için farklı koşullar altında protokolünün likiditesini periyodik olarak yeniden dengelemeyi amaçlamaktadır.
Maji'nin aşina olduğumuz kardeşi Huang Licheng birkaç gün önce bu projenin tokenlerini almak için milyonlarca dolar harcadı.Saldırıdan sonra ilgili tokenlar da düştü.Maji abinin şimdi nasıl hissettiğini bilmiyorum.
Beosin güvenlik ekibi olayı en kısa sürede analiz etti ve şimdi analiz sonuçlarını aşağıdaki gibi paylaşıyor.
Bu saldırıda birden fazla işlem var ve bunlardan birini analiz için kullanıyoruz.
Saldırgan önce bir flaş krediyle 10.000 WETH ödünç verir.
Saldırgan daha sonra JIMBO fiyatını yükseltmek için JIMBO jetonlarını takas etmek için büyük miktarda WETH kullanır.
Daha sonra saldırgan, müteakip likidite ilavesine hazırlık olarak JimboController sözleşmesine 100 JIMBO jetonu aktardı (JIMBO'nun fiyatı yükseldiğinden, likidite eklemek için yalnızca küçük bir miktar JIMBO jetonuna ihtiyaç var).
Ardından saldırgan, orijinal likiditeyi kaldıracak ve yeni likidite ekleyecek olan kaydırma işlevini çağırır. Shift işlevinin çağrılması, likidite eklemek için sözleşmenin fonlarını alacaktır, böylece JimboController sözleşmesinin tüm WETH'si likiditeye eklenecektir.
Şu anda, dengesiz bir durumda likidite eklenmesi nedeniyle (likidite eklerken, sipariş almak için bir sözleşme kullanmaya eşdeğer olan gerekli jeton sayısını hesaplamak için temel olarak mevcut fiyata dayanacaktır) , Saldırganın daha fazla WETH elde edebilmesi için, sonunda karı tamamlamak için JIMBO'yu WETH'e dönüştürdü.
Güvenlik Açığı Analizi
Bu saldırı esas olarak, JimboController sözleşmesindeki güvenlik açığından yararlanır; bu, sözleşmenin likidite çıkarma ve ekleme işlemleri gerçekleştirmesini sağlamak için herkesin vardiya işlevini kullanmasına izin verir ve bu da onu üst düzey bir devralma haline getirir.
Para Takibi
Bu yazının yazıldığı an itibariyle, çalınan fonlar saldırgan tarafından dışarı aktarılmadı ve 4048 ETH hala saldırı adresinde:
(
Özetle
Bu olaya yanıt olarak, Beosin güvenlik ekibi şunları önerdi: sözleşme geliştirme sırasında, sözleşmeye yapılan yatırımdan dış manipülasyon yoluyla kaçınılmalıdır; proje hayata geçmeden önce, kapsamlı bir güvenlik denetimi yapmak için profesyonel bir güvenlik denetim şirketi seçilmesi önerilir. güvenlik risklerinden kaçınmak için.
View Original
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Abi Maji'nin çok parayla satın aldığı proje hacklendi mi? Jimbos protokolü saldırı olaylarını analiz etme
Beosin-Eagle Eye durumsal farkındalık platformuna göre 28 Mayıs 2023'te Jimbos protokolünün JimboController sözleşmesi hacklendi ve hacker yaklaşık 7,5 milyon ABD doları kar elde etti.
Resmi web sitesine göre Jimbos Protokolü, Arbitrum "duyarlı merkezi likidite" üzerinde konuşlandırılmış deneysel bir protokoldür. Jimbos Protokolü tarafından başlatılan ana token $JIMBO, sermaye kullanımının verimliliğini artırmak için farklı koşullar altında protokolünün likiditesini periyodik olarak yeniden dengelemeyi amaçlamaktadır.
Maji'nin aşina olduğumuz kardeşi Huang Licheng birkaç gün önce bu projenin tokenlerini almak için milyonlarca dolar harcadı.Saldırıdan sonra ilgili tokenlar da düştü.Maji abinin şimdi nasıl hissettiğini bilmiyorum.
Beosin güvenlik ekibi olayı en kısa sürede analiz etti ve şimdi analiz sonuçlarını aşağıdaki gibi paylaşıyor.
Etkinlikle ilgili bilgiler
saldırı işlemi
0x44a0f5650a038ab522087c02f734b80e6c748afb207995e757ed67ca037a5eda (bunlardan biri)
saldırgan adresi
0x102be4bccc2696c35fd5f5bfe54c1dfba416a741
saldırı sözleşmesi
0xd4002233b59f7edd726fc6f14303980841306973
Saldırıya uğrayan sözleşme
0x271944d9D8CA831F7c0dBCb20C4ee482376d6DE7
Saldırı süreci
Bu saldırıda birden fazla işlem var ve bunlardan birini analiz için kullanıyoruz.
Güvenlik Açığı Analizi
Bu saldırı esas olarak, JimboController sözleşmesindeki güvenlik açığından yararlanır; bu, sözleşmenin likidite çıkarma ve ekleme işlemleri gerçekleştirmesini sağlamak için herkesin vardiya işlevini kullanmasına izin verir ve bu da onu üst düzey bir devralma haline getirir.
Para Takibi
Bu yazının yazıldığı an itibariyle, çalınan fonlar saldırgan tarafından dışarı aktarılmadı ve 4048 ETH hala saldırı adresinde:
(
Özetle
Bu olaya yanıt olarak, Beosin güvenlik ekibi şunları önerdi: sözleşme geliştirme sırasında, sözleşmeye yapılan yatırımdan dış manipülasyon yoluyla kaçınılmalıdır; proje hayata geçmeden önce, kapsamlı bir güvenlik denetimi yapmak için profesyonel bir güvenlik denetim şirketi seçilmesi önerilir. güvenlik risklerinden kaçınmak için.