SharkTeam揭秘Jimbo协议:闪电贷遭遇攻击

OKX欧易app

OKX欧易app

欧易交易所app是全球排名第一的虚拟货币交易所,注册领取6万元盲盒礼包!

APP下载   官网注册

中国北京时间2023年5月28日,Jimbosprotocol遭到闪电贷攻击,攻击者已盈利约750万美金。

SharkTeam对于此事事件第一时间展开了技术指标分析,并归纳了安全防护方式,期待后面新项目能够以此为戒,共铸区块链行业安全屏障。

一、事件剖析

攻击者详细地址:0x102be4bccc2696c35fd5f5bfe54c1dfba416a741攻击合约:0xd4002233b59f7edd726fc6f14303980841306973被攻击合约:0x271944d9D8CA831F7c0dBCb20C4ee482376d6DE7攻击买卖:0x44a0f5650a038ab522087c02f734b80e6c748afb207995e757ed67ca037a5eda攻击步骤:1. 攻击者(0x102be4bc)根据闪电贷借出10000枚ETH。2. 接着用ETH在交易池中换取了很多的Jimbo。3. 攻击者(0x102be4bc)向被攻击合约(0x271944d9)转移到了100枚JIMBO货币4. 启用被攻击合约(0x271944d9)的shift函数。5. 循环系统几回上边的操作:6. 然后将Jimbo换取为ETH并偿还闪电贷,盈利退场

漏洞分析:

此次攻击运用了JimboController(0x271944d9)合约里的系统漏洞,这其中的shift函数会使合约实行清除流动性和加上流动性实际操作,在加上流通性时JimboController(0x271944d9)合约会推送每一个weth来加上流通性。 攻击者(0x102be4bc)在第二步中应用很多weth掉换了流动池中大量Jimbo币,使水池之中Jimbo的价钱非常高,这时候再启用JimboController(0x271944d9)合约里的shift函数去进行加上流动性实际操作,会推送合约中每一个weth到流动池中(包括了合约中原地区有些weth),这时候水池里的weth数量增加但Jimbo的价钱依然非常高,攻击者(0x102be4bc)把自己第二步中掉换的Jimbo币再次折算成weth,就可以将水池自身的weth和JimboController(0x271944d9)合约上传的weth一起掉换。

事件汇总:

此次事件产生主要原因是因为JimboController(0x271944d9)合约的shift函数上存在系统漏洞,所有人都可以启用这一函数公式来让合约为水池加上流通性,并且还会推送出合约中每一个weth来加上流通性,不管价钱如何进行操纵后都能用合约去进行接手。

二、安全建议

对于此次攻击事件,大家在实施过程中要遵循下列常见问题:1. 在研发有关流通性加上和清除函数公式时,要更科学严谨留意被价钱操控风险性。2. 项目上线前,必须联络第三方更专业的财务审计团队进行智能化合约财务审计。

About Us

SharkTeam的美好愿景是全方位维护Web3全球的安全性。精英团队由来自全国各地的资深的安全性专业人员高级科学研究人员构成,熟练区块链智能合约的底层基础理论,提供专业的智能化合约财务审计、链上剖析、应急处置等业务。已经与区块链生态体系各行各业的重要参加者,如Polkadot、Moonbeam、polygon、OKC、HuobiGlobal、imToken、ChainIDE等建立了长期合作伙伴关系。

官方网站:https://www.sharkteam.orgTwitter:https://twitter.com/sharkteamorgDiscord:https://discord.gg/jGH9xXCjDZTelegram:https://t.me/sharkteamorg转载:驼鸟区块链

本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/98985.html

打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023年11月14日
下一篇 2023年11月14日

相关推荐

  • 比特币合约如何平仓,比特币合约已亏百分之160了不知道平不平仓

    一、什么是比特币期货合约比特币期货合约,通常是以比特币价格指数为标的的标准化合约。比特币交易所提供的比特币期货通常是以比特币进行交易的。期货是与现货相对的,现货是实实在在可以一手交钱一手交货的商品,而期货其实不是“货”,是承诺未来一个时间交“货”(标的)的

    2024-11-21 15:00:02
    3 0
  • 比特币智能合约怎么查,怎么查询所有区块链公链

    一、怎么查询所有区块链公链公链在哪里查询公链在浏览器查询。随着区块链的大热,越来越多的科技公司开始研究和开发区块链。在区块链迅速发展的同时,也有少部分项目方打着区块链的名号,在市面上进行招摇撞骗。如何判断公链真假,对于现在许多想要进行数字货币交易的群体来说

    2024-11-21 11:30:01
    2 0
  • 比原链钱包地址怎么写,如何查区块链合约地址信息

    一、区块链地址怎么查(区块链地址怎么查询平台)如何通过区块链资产地址(数字钱包地址)查看该地址的区块链资产(数字货币)?用区块链浏览器就可以查看。在搜索输入框内输入想查询的钱包地址,如果你输入的地址不完整,但是这个地址之前有在区块链上进行过ETH交易或者被查询

    2024-11-20 14:00:01
    3 0
  • 区块链 如何删除合约,什么叫区块链合约

    一、什么叫区块链合约区块链合约层是什么如果说数据、网络和共识三层,分别承担了区块链底层数据表示、数据传播和数据验证功能的话,合约层则是封装各类脚本代码、算法以及更为复杂的智能合约,是区块链系统实现灵活编程和操作数据的基础。作为一种自我执行的协议,智能合约被

    2024-11-20 01:30:01
    7 0
  • 虚拟货币地址怎么查询,如何查区块链合约地址信息

    一、如何知道是哪个区块链平台,怎么查询区块链是不是公链怎么查别人区块链信息1.如果是查询账户余额、账户的历史交易数据等信息,建议直接输入钱包地址查询;如果是查询某笔转账的相关信息,比如是否到账、进展如何,输入交易ID是最方便的。当然了,区块链浏览器不仅可以查询自己的

    2024-11-17 13:30:02
    9 0
  • 时代合约如何交易平台,什么是区块链合约交易

    一、如何知道期货是被骗了看投资之后亏损情况以及平台交易情况。1、根据资质来选择。一个正规的平台商是要求在相关交易所取得相关的资质证明的,所有大家选择平台的时候一定要得到他们的资质证明,没有证明的肯定都是假平台。2、服务很重要。期货的交易规则就是24小时T+0多空

    2024-11-16 01:30:02
    11 0

发表回复

8206
验证码

评论列表(0条)

    暂无评论

ok交易所
已有100万用户加入ok交易所

立即下载