Зловмисники атакували DeFi-проєкт Jimbos Protocol на базі L2-рішення Arbitrum. Внаслідок зламу 28 травня 2023 року хакерам вдалося поцупити 4090 ETH (близько $7,5 млн на момент написання), підрахували у PeckShield.
It appears today's @jimbosprotocol hack leads to the 4090 ETH loss (w/ ~$7.5M).
This hack is due to the lack of slippage control of liquidity-shifting operation — such that the protocol-owned liquidity is invested into a skewed/imbalanced price range, which is exploited in… https://t.co/wnQAeksojz pic.twitter.com/TPlqNlvnZD
— PeckShield Inc. (@peckshield) May 28, 2023
Аналітики з’ясували, що зламник скористався логічною помилкою у механізмі протоколу, яка дозволила зловмисникам скасовувати процеси конвертації цифрових активів для власного збагачення.
За даними експертів PeckShield, хакери вивели викрадені кошти через Stargate та Celer Network.
Команда проєкту Jimbos Protocol заявила про співпрацю з фахівцями зі сфери кібербезпеки. Зокрема розробникам допомагають аналітики, які працювали над поверненням коштів внаслідок зламу Euler Finance та Sentiment. В обох випадках хакери повернули поцуплені гроші.
«Ми звернемося до правоохоронних органів 29 травня о 19:00 [за Києвом], якщо нам не вдасться розв’язати проблему до цього часу», — зазначили представники DeFi-протоколу.
Quick update:
We are already working with multiple security researchers and on-chain analysts who helped with both the Euler Finance and Sentiment exploits.
We will start working with law enforcement agencies tomorrow by 4PM UTC if this isn’t sorted out by then.
— Jimbos Protocol (v2, soon) (@jimbosprotocol) May 28, 2023
Команда також опублікувала повідомлення у мережі Ethereum для зламника, пропонуючи йому повернути кошти за винагороду у 10% від суми.
Варто зазначити, що проєкт Jimbos Protocol розробники запустили 16 травня цьогоріч. На тлі кібератаки на протокол вартість токена JIMBO обвалилася. На момент написання монета торгується за ціною $0,18, згідно з DEXScreener.
П’ятнадцятихвилинний графік JIMBO/WETH. Дані: DEXScreener.
Раніше фахівці аналітичної фірми CertiK підрахували, що за квітень 2023 року користувачі втратили близько $103,6 млн через експлойти, злами та шахрайство.