這下悲劇了!麻吉大哥砸重金買的「JIMBO」遭駭750萬,發生了什麼

合約開發時,應避免合約被外部操控進行投資;項目上線前,建議選擇專業的安全審計公司進行全面的安全審計,規避安全風險。

合約開發時,應避免合約被外部操控進行投資;項目上線前,建議選擇專業的安全審計公司進行全面的安全審計,規避安全風險。這下悲劇了!麻吉大哥砸重金買的「JIMBO」遭駭750萬,發生了什麼

2023 年 5 月 28 日,據 Beosin-Eagle Eye 態勢感知平台消息,Jimbos protocol 的 JimboController 合約遭受駭客攻擊,駭客獲利約 750 萬美元。

根據官網介紹,Jimbos Protocol 是部署在 Arbitrum 「反應集中流動性」的實驗協議,Jimbos Protocol 推出的主要代幣 $JIMBO 旨在不同情況下定期重新平衡其協議的流動性,以提高資金利用效率。

我們所熟知的麻吉大哥黃立成,就在前幾天曾花費上百萬美元購買此項目的代幣,在攻擊發生之後,其相關代幣也一陣暴跌,不知道麻吉大哥現在有何感想。

Beosin 安全團隊第一時間對事件進行了分析,現將分析結果分享如下。

事件相關信息

攻擊交易

0x44a0f5650a038ab522087c02f734b80e6c748afb207995e757ed67ca037a5eda(其中一筆)

攻擊者地址

0x102be4bccc2696c35fd5f5bfe54c1dfba416a741

攻擊合約

0xd4002233b59f7edd726fc6f14303980841306973

被攻擊合約

0x271944d9D8CA831F7c0dBCb20C4ee482376d6DE7

攻擊流程

該攻擊交易有多筆,我們用其中一筆進行分析。

1.攻擊者首先閃電貸借出 10,000 WETH。

這下悲劇了!麻吉大哥砸重金買的「JIMBO」遭駭750萬,發生了什麼
圖源:《PANews》

2.攻擊者然後使用大量的 WETH 兌換 JIMBO 代幣,使其拉高 JIMBO 價格。

這下悲劇了!麻吉大哥砸重金買的「JIMBO」遭駭750萬,發生了什麼
圖源:《PANews》

3.接著攻擊者向 JimboController 合約轉移了 100 的 JIMBO 代幣,目的是為了後面的添加流動性做準備(因為價格 JIMBO 價格拉高,添加流動性時就只需要很少數量的 JIMBO 代幣)。

這下悲劇了!麻吉大哥砸重金買的「JIMBO」遭駭750萬,發生了什麼
圖源:《PANews》

4.接著攻擊者再調用 shift 函數,shift 函數會移除原有的流動性然後添加新的流動性。調用 shift 函數,會把該合約的資金拿去添加流動性,以至於 JimboController 合約的 WETH 會被全部添加流動性。

這下悲劇了!麻吉大哥砸重金買的「JIMBO」遭駭750萬,發生了什麼
圖源:《PANews》
這下悲劇了!麻吉大哥砸重金買的「JIMBO」遭駭750萬,發生了什麼
圖源:《PANews》

5.這時候由於在失衡狀態添加流動性(添加流動性時,會依靠當前的價格去作為依據,計算代幣需要的數量,相當於使用合約接盤了),以至於攻擊者可以獲得更多的 WETH,攻擊者最後把 JIMBO 兌換成 WETH 完成獲利。

這下悲劇了!麻吉大哥砸重金買的「JIMBO」遭駭750萬,發生了什麼
圖源:《PANews》

漏洞分析

本次攻擊主要利用了 JimboController 合約中的漏洞,它允許任意人使用 shift 函數讓合約執行移除和添加流動性操作,使其高位接盤。

這下悲劇了!麻吉大哥砸重金買的「JIMBO」遭駭750萬,發生了什麼
圖源:《PANews》

資金追踪

截止發文時,被盜資金還未被攻擊者轉出,4,048 枚 ETH 仍在攻擊地址中:

(https://etherscan.io/address/0x5f3591e2921d5c9291f5b224e909ab978a22ba7e)

這下悲劇了!麻吉大哥砸重金買的「JIMBO」遭駭750萬,發生了什麼
圖源:《PANews》

總結

針對本次事件,Beosin 安全團隊建議:合約開發時,應避免合約被外部操控進行投資;項目上線前,建議選擇專業的安全審計公司進行全面的安全審計,規避安全風險。

・ 本文未經同意請勿轉載

icon免責聲明

市場有風險,投資需謹慎。本文不構成投資建議,使用者應考慮本文的任何意見、觀點或結論是否符合其特定狀況。據此投資,責任自負。

crypto_city_linecrypto_city_threadscrypto_city_telegram

你可能想知道

即將開始下一篇upcoming

background
login_logo
logo

使用以下帳號繼續

繼續表示您已同意 服務條款與隱私政策

copy

這下悲劇了!麻吉大哥砸重金買的「JIMBO」遭駭750萬,發生了什麼