中国北京时间2023年5月28日，Jimbosprotocol遭到闪电贷攻击，攻击者已盈利约750万美金。

SharkTeam对于此事事件第一时间展开了技术指标分析，并归纳了安全防护方式，期待后面新项目能够以此为戒，共铸区块链行业安全屏障。

一、事件剖析

攻击者详细地址：0x102be4bccc2696c35fd5f5bfe54c1dfba416a741攻击合约：0xd4002233b59f7edd726fc6f14303980841306973被攻击合约：0x271944d9D8CA831F7c0dBCb20C4ee482376d6DE7攻击买卖：0x44a0f5650a038ab522087c02f734b80e6c748afb207995e757ed67ca037a5eda攻击步骤：1. 攻击者（0x102be4bc）根据闪电贷借出10000枚ETH。2. 接着用ETH在交易池中换取了很多的Jimbo。3. 攻击者（0x102be4bc）向被攻击合约（0x271944d9）转移到了100枚JIMBO货币4. 启用被攻击合约（0x271944d9）的shift函数。5. 循环系统几回上边的操作：6. 然后将Jimbo换取为ETH并偿还闪电贷，盈利退场

漏洞分析：

此次攻击运用了JimboController（0x271944d9）合约里的系统漏洞，这其中的shift函数会使合约实行清除流动性和加上流动性实际操作，在加上流通性时JimboController（0x271944d9）合约会推送每一个weth来加上流通性。 攻击者（0x102be4bc）在第二步中应用很多weth掉换了流动池中大量Jimbo币，使水池之中Jimbo的价钱非常高，这时候再启用JimboController（0x271944d9）合约里的shift函数去进行加上流动性实际操作，会推送合约中每一个weth到流动池中（包括了合约中原地区有些weth），这时候水池里的weth数量增加但Jimbo的价钱依然非常高，攻击者（0x102be4bc）把自己第二步中掉换的Jimbo币再次折算成weth，就可以将水池自身的weth和JimboController（0x271944d9）合约上传的weth一起掉换。

事件汇总：

此次事件产生主要原因是因为JimboController（0x271944d9）合约的shift函数上存在系统漏洞，所有人都可以启用这一函数公式来让合约为水池加上流通性，并且还会推送出合约中每一个weth来加上流通性，不管价钱如何进行操纵后都能用合约去进行接手。

二、安全建议

对于此次攻击事件，大家在实施过程中要遵循下列常见问题：1. 在研发有关流通性加上和清除函数公式时，要更科学严谨留意被价钱操控风险性。2. 项目上线前，必须联络第三方更专业的财务审计团队进行智能化合约财务审计。

About Us

SharkTeam的美好愿景是全方位维护Web3全球的安全性。精英团队由来自全国各地的资深的安全性专业人员高级科学研究人员构成，熟练区块链智能合约的底层基础理论，提供专业的智能化合约财务审计、链上剖析、应急处置等业务。已经与区块链生态体系各行各业的重要参加者,如Polkadot、Moonbeam、polygon、OKC、HuobiGlobal、imToken、ChainIDE等建立了长期合作伙伴关系。

官方网站：https://www.sharkteam.orgTwitter：https://twitter.com/sharkteamorgDiscord：https://discord.gg/jGH9xXCjDZTelegram：https://t.me/sharkteamorg转载：驼鸟区块链