2023年5月28日,根据Beosin-Eagle Eye态势感知平台显示,Jimbos协议的JimboController合同遭到黑客攻击,黑客获利约750万美元。
官网介绍,Jimbo协议是部署在Arbitrum的一个实验性协议,用于“体现集中流动性”。Jimbo协议推出的主令牌Jimbo,旨在不同情况下定期重新平衡其协议的流动性,提高资金利用效率。
就在几天前,著名的马奇大哥黄立成花了数百万美元为这个项目购买代币。袭击发生后,他的相关代币也一落千丈。不知道麻吉哥现在是什么感受?
Beosin安全团队第一时间对事件进行了分析,现分享分析结果如下。
事件相关信息攻击交易
0x 44 a 0 f 5650 a 038 ab 522087 c 02 f 734 b 80 E6 c 748 AFB 207995 e 757 ed 67 ca 037 a5 EDA(其中之一)。
攻击者地址
0x 102 be 4 bccc 2696 c 35 FD 5 F5 bfe 54 c 1 dfba 416 a 741
攻击合同
0xd 4002233 b 59 f 7 edd 726 fc6 f 14303980841306973
被攻击的合同
0x 271944d 9 D8 ca 831 f 7 c 0 dbcb 20 C4 ee 482376 d6de 7
攻击过程中有很多攻击,我们用其中一个进行分析。
1.攻击者首先以闪电般的方式借出10,000 WETH。
2.攻击者然后使用大量wet来交换金宝代币,这使得它抬高了金宝的价格。
3.然后攻击者将100个Jimbo令牌转移到JIMBOController契约中,为后期添加流动性做准备(由于JIMBO价格较高,添加流动性时只需要少量的JIMBO令牌)。
4.然后攻击者调用shift函数,这个函数会去掉原来的流动性,然后添加新的流动性。调用shift函数将为合约的资金添加流动性,这样JimboController合约的wet将完全添加流动性。
5.此时由于在非均衡状态下加入了流动性(加入流动性时会根据当前价格计算需要的代币数量,相当于利用合约接管),从而使攻击者获得更多wet,最后攻击者将JIMBO转换为wet完成获利。
漏洞分析该攻击主要利用了JimboController合约中的漏洞,该漏洞允许任何人使用shift函数使合约执行去除和添加流动性的操作,从而使其在高位接管。
到资金追踪公布时,被盗资金还没有被攻击者转出,4048 ETH还在攻击地址:
(https://ethers can . io/address/0x5f 3591 e 2921 D5 c 9291 F5 b 224 e 909 ab 978 a 22 ba 7e)
综上所述,针对此次事件,Beosin安全团队建议:在制定合同时,要防止合同被外部操纵投入;项目上线前,建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。
本网站声明:网站内容来源于网络。如有侵权,请联系我们,我们会及时处理。
温馨提示:注:内容来源均采集于互联网,不要轻信任何,后果自负,本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权,请给我们来信(j7hr0a@163.com),我们会及时处理和回复。
原文地址"麻吉大哥重金买入的项目被黑?解析Jimbos protocol攻击事件":http://www.guoyinggangguan.com/qkl/146284.html。
微信扫描二维码关注官方微信
▲长按图片识别二维码
