SharkTeam揭秘Jimbo协议:闪电贷遭遇攻击

OKX欧易app

OKX欧易app

欧易交易所app是全球排名第一的虚拟货币交易所,注册领取6万元盲盒礼包!

APP下载   官网注册

中国北京时间2023年5月28日,Jimbosprotocol遭到闪电贷攻击,攻击者已盈利约750万美金。

SharkTeam对于此事事件第一时间展开了技术指标分析,并归纳了安全防护方式,期待后面新项目能够以此为戒,共铸区块链行业安全屏障。

一、事件剖析

攻击者详细地址:0x102be4bccc2696c35fd5f5bfe54c1dfba416a741攻击合约:0xd4002233b59f7edd726fc6f14303980841306973被攻击合约:0x271944d9D8CA831F7c0dBCb20C4ee482376d6DE7攻击买卖:0x44a0f5650a038ab522087c02f734b80e6c748afb207995e757ed67ca037a5eda攻击步骤:1. 攻击者(0x102be4bc)根据闪电贷借出10000枚ETH。2. 接着用ETH在交易池中换取了很多的Jimbo。3. 攻击者(0x102be4bc)向被攻击合约(0x271944d9)转移到了100枚JIMBO货币4. 启用被攻击合约(0x271944d9)的shift函数。5. 循环系统几回上边的操作:6. 然后将Jimbo换取为ETH并偿还闪电贷,盈利退场

漏洞分析:

此次攻击运用了JimboController(0x271944d9)合约里的系统漏洞,这其中的shift函数会使合约实行清除流动性和加上流动性实际操作,在加上流通性时JimboController(0x271944d9)合约会推送每一个weth来加上流通性。 攻击者(0x102be4bc)在第二步中应用很多weth掉换了流动池中大量Jimbo币,使水池之中Jimbo的价钱非常高,这时候再启用JimboController(0x271944d9)合约里的shift函数去进行加上流动性实际操作,会推送合约中每一个weth到流动池中(包括了合约中原地区有些weth),这时候水池里的weth数量增加但Jimbo的价钱依然非常高,攻击者(0x102be4bc)把自己第二步中掉换的Jimbo币再次折算成weth,就可以将水池自身的weth和JimboController(0x271944d9)合约上传的weth一起掉换。

事件汇总:

此次事件产生主要原因是因为JimboController(0x271944d9)合约的shift函数上存在系统漏洞,所有人都可以启用这一函数公式来让合约为水池加上流通性,并且还会推送出合约中每一个weth来加上流通性,不管价钱如何进行操纵后都能用合约去进行接手。

二、安全建议

对于此次攻击事件,大家在实施过程中要遵循下列常见问题:1. 在研发有关流通性加上和清除函数公式时,要更科学严谨留意被价钱操控风险性。2. 项目上线前,必须联络第三方更专业的财务审计团队进行智能化合约财务审计。

About Us

SharkTeam的美好愿景是全方位维护Web3全球的安全性。精英团队由来自全国各地的资深的安全性专业人员高级科学研究人员构成,熟练区块链智能合约的底层基础理论,提供专业的智能化合约财务审计、链上剖析、应急处置等业务。已经与区块链生态体系各行各业的重要参加者,如Polkadot、Moonbeam、polygon、OKC、HuobiGlobal、imToken、ChainIDE等建立了长期合作伙伴关系。

官方网站:https://www.sharkteam.orgTwitter:https://twitter.com/sharkteamorgDiscord:https://discord.gg/jGH9xXCjDZTelegram:https://t.me/sharkteamorg转载:驼鸟区块链

本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/98985.html

打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023年11月14日
下一篇 2023年11月14日

相关推荐

  • LON是哪个交易所的币,什么是基于智能合约的原子币币兑换系统

    一、什么是基于智能合约的原子币币兑换系统意思是和传统的中心化交易所相比,imToken的Tokenlon品牌不再是一个中心化的平台,用户实现币币兑换都是基于智能合约完成的,像基于Kyber协议的闪兑,以及基于0x协议的点对点币币兑换功能。一种P2P形式的数字代码,它的创作想法来源

    2024-11-05 06:30:01
    3 0
  • 货币怎么查看ETH地址,如何查区块链合约地址信息

    一、如何查区块链合约地址信息***区块链合约地址查询***怎么查币安代币合约地址登入币安交易所官网,进入首页,点击【钱包】,点一下钱包一览就可看到。此外还有一种方式进入账户,点击【充值】,点击【数字货币】,选择币种,进入充值网络,即可查看钱包地址。截止目前,币安

    2024-11-04 22:00:01
    6 0
  • 合约币怎么挖,以太坊怎么挖矿

    一、以太坊怎么挖矿与所有区块链技术一样,以太坊使用基于激励的安全模型。声称是网络中的矿工的任何节点都可以尝试创建并阻止验证区。世界各地的许多矿工正在同时创建和验证区块。一、以太坊采矿的基本原则1、与所有区块链技术一样,以太坊使用基于激励的安全模型。声称是网

    2024-11-03 20:00:01
    8 0
  • 混合合约怎么收费,合作协议书

    一、猎头公司费用多少猎头公司是收费的。猎头公司收费方式主要有三种,一是按过程收费,二是按结果收费,三是打包收费。1、按照过程收费国际主流大牌猎头公司收费都是按照过程收费,里面含有咨询服务。和审计师、上市承销律师类似,可能人选还没招聘到位呢,服务费已经收了一

    2024-11-02 19:00:02
    9 0
  • 币市合约到底是什么,虚拟币合约是什么意思

    一、数字货币合约是什么什么是永续合约什么是期权合约1、数字货币合约交易是一种数字货币衍生产品,用户可以通过判断涨跌,选择买入做多或卖出做空合约来获取数字货币价格上涨/下降的收益。根据《关于防范代币发行融资风险的公告》,境内没有批准的数字货币交易平台。根据我国

    2024-11-02 15:00:01
    9 0
  • okx合约交易

    本文目次导读:OKX合约交易:若何在OKX平台长进行合约交易OKX合约交易OKX合约交易操做步调OKX合约交易风险办理OKX合约交易技巧OKX合约交易:若何在OKX平台长进行合约交易OKX合约交易OKX是全球领先的数字资产交易平台之一,供给

    2024-05-27 02:30:16
    247 0

发表回复

8206
验证码

评论列表(0条)

    暂无评论

ok交易所
已有100万用户加入ok交易所

立即下载