零时科技 || Arbitrum链上Jimbos Protocol项目受到黑客攻击,攻击者获利约 776 万美元
币灵灵财经 2024-11-25 11:04 1162
零时科技区块链安全情报平台监控到消息,北京时间2023年5月28日,Arbitrum链上Jimbos Protocol项目受到黑客攻击,攻击者获利约 776 万美元。
0x102be4bccc2696c35fd5f5bfe54c1dfba416a741
0x5F3591e2921D5c9291F5b224E909aB978A22Ba7E
零时科技安全团队及时对此安全事件进行分析。
攻击步骤
1. 攻击者通过闪电贷借出 10,000 WETH
2. 攻击者在交易池中使用 WETH 兑换获得大量 JIMBO 代币
3. 攻击者向 JimboController 合约转移 100 JIMBO 代币
4. 攻击者调用 shift 函数更新交易池,将合约中WETH与 JIMBO 代币转移至交易池中,此时JIMBO 代币价格被恶意拉高
5. 攻击者使用更新后的价格进行兑换
6. 攻击者重复上述步骤,几乎将池子掏空后获利离场。
JimboController合约中shift()函数可以更新交易池流动性,但是此函数中没有限制调用者身份,任何人都可以调用此函数执行更新交易池操作,重新添加流动性时会将合约中的所有余额转移至交易池,并且重新添加流动性时没有对代币价格进行判断,因此攻击者能够将代币价格恶意拉高后通过调用函数使得JimboController合约接盘,从而获利。
