O projeto que o irmão Maji comprou com muito dinheiro foi hackeado? Analisando eventos de ataque do protocolo Jimbos

Em 28 de maio de 2023, de acordo com a plataforma de conscientização situacional Beosin-Eagle Eye, o contrato JimboController do protocolo Jimbos foi hackeado e o hacker obteve um lucro de cerca de 7,5 milhões de dólares americanos.

De acordo com o site oficial, Jimbos Protocol é um protocolo experimental implantado na Arbitrum "liquidez centralizada responsiva".

Huang Licheng, o irmão de Maji que conhecemos, gastou milhões de dólares para comprar os tokens deste projeto há alguns dias. Após o ataque, os tokens relacionados também despencaram. Não sei como o irmão Maji se sente agora.

A equipe de segurança do Beosin analisou o incidente o mais rápido possível e agora compartilha os resultados da análise da seguinte forma.

Informações relacionadas ao evento

transação de ataque

0x44a0f5650a038ab522087c02f734b80e6c748afb207995e757ed67ca037a5eda (um deles)

endereço do atacante

0x102be4bccc2696c35fd5f5bfe54c1dfba416a741

contrato de ataque

0xd4002233b59f7edd726fc6f14303980841306973

contrato atacado

0x271944d9D8CA831F7c0dBCb20C4ee482376d6DE7

Processo de ataque

Existem várias transações neste ataque e usamos uma delas para análise.

1. O invasor primeiro empresta 10.000 WETH em um empréstimo rápido.

2. O invasor então usa uma grande quantidade de WETH para trocar tokens JIMBO para aumentar o preço do JIMBO.

3. Em seguida, o invasor transferiu 100 tokens JIMBO para o contrato JimboController em preparação para a subsequente adição de liquidez (como o preço do JIMBO aumentou, apenas uma pequena quantidade de tokens JIMBO é necessária para adicionar liquidez).

4. Em seguida, o invasor chama a função shift, que removerá a liquidez original e adicionará nova liquidez. Chamar a função shift levará os fundos do contrato para adicionar liquidez, de modo que todo o WETH do contrato JimboController seja adicionado à liquidez.

5. Neste momento, devido à adição de liquidez em estado desequilibrado (ao adicionar liquidez, terá como base o preço atual para calcular o número de tokens necessários, o que equivale a usar um contrato para receber pedidos) , para que o atacante possa obter mais WETH, o atacante finalmente converteu JIMBO em WETH para completar o lucro.

Análise de Vulnerabilidade

Este ataque se aproveita principalmente da vulnerabilidade do contrato JimboController, que permite a qualquer pessoa utilizar a função shift para fazer com que o contrato realize operações de remoção e adição de liquidez, tornando-o um takeover de alto nível.

Rastreamento de fundos

No momento da redação deste artigo, os fundos roubados não foram transferidos pelo invasor e 4048 ETH ainda estão no endereço do ataque:

(

Resumir

Em resposta a este incidente, a equipe de segurança da Beosin sugeriu que: durante o desenvolvimento do contrato, o investimento no contrato deve ser evitado por manipulação externa; antes que o projeto seja lançado, é recomendável escolher uma empresa de auditoria de segurança profissional para realizar uma auditoria de segurança abrangente para evitar riscos de segurança.