零时科技 || Arbitrum 链上 Jimbos Protocol 项目受到黑客攻击，攻击者获利约 776 万美元

事件背景

零时科技区块链安全情报平台监控到消息，北京时间 2023 年 5 月 28 日，Arbitrum 链上 Jimbos Protocol 项目受到黑客攻击，攻击者获利约 776 万美元。

攻击者地址为：

0x102be4bccc2696c35fd5f5bfe54c1dfba416a741

被盗资金通过跨链转移至 ETH 链后转移至地址：

0x5F3591e2921D5c9291F5b224E909aB978A22Ba7E

零时科技安全团队及时对此安全事件进行分析。

攻击步骤

1. 攻击者通过闪电贷借出 10,000 WETH

2. 攻击者在交易池中使用 WETH 兑换获得大量 JIMBO 代币

3. 攻击者向 JimboController 合约转移 100  JIMBO 代币

4. 攻击者调用 shift 函数更新交易池，将合约中 WETH 与 JIMBO 代币转移至交易池中，此时 JIMBO 代币价格被恶意拉高

5. 攻击者使用更新后的价格进行兑换

6. 攻击者重复上述步骤，几乎将池子掏空后获利离场。

此笔攻击中攻击者共获利约 4,048 ETH，约为 7,763,360 美元

核心漏洞

JimboController 合约中 shift() 函数可以更新交易池流动性，但是此函数中没有限制调用者身份，任何人都可以调用此函数执行更新交易池操作，重新添加流动性时会将合约中的所有余额转移至交易池，并且重新添加流动性时没有对代币价格进行判断，因此攻击者能够将代币价格恶意拉高后通过调用函数使得 JimboController 合约接盘，从而获利。

资金来源及流向

• 资金来源

攻击地址初始手续费通过跨链转入

• 资金流向

攻击者将获利资金通过跨链合约转移至 ETH 链对应地址，之后将资金转移至地址 0x5F3591e2921D5c9291F5b224E909aB978A22Ba7E，目前资金仍在此地址未移动。

总结及建议

此次攻击是由于代币价格存在滑点，并且合约中在更新交易池函数中没有用户权限并且没有对于价格滑点进行判断，导致攻击者能够恶意操纵代币价格，并且将合约中 ETH 也转入交易池后通过代币兑换获利。

安全建议

• 建议对合约中更新交易池函数设置用户权限

• 建议在更新交易池时增加对于代币价格判断的条件，避免出现滑点过大时币价被恶意操纵

• 建议项目方上线前进行多次审计，避免出现审计步骤缺失

往期内容回顾

• 零时科技 ||《2022 年全球 Web3 行业安全研究报告》正式发布！

• 零时科技 || 分布式资本创始人 4200 万美金资产被盗分析及追踪工作

• 零时科技 || 警惕恶意聊天软件！聊天记录被劫持损失数千万资产追踪分析

• 零时科技联合创始人黄鱼先生受邀对话《Web3 应用创新与生态安全》

• 零时科技创始人邓永凯先生受邀对话《公链隐私保护及生态安全》

• 国家网络安全宣传周|零时科技出版国内首本区块链安全书籍，助力行业发展！

• 零时科技 || 4 月各类攻击事件损失总金额约 9407 万美元，较 3 月有所下降

• 零时科技 || 3 月安全事件共造成约 2.18 亿美元损失，较 2 月损失金额明显上升

• 零时科技 || 2 月发生典型安全事件 21 起，损失金额约 5688 万美元，智能合约漏洞利用占 50%

• 零时科技入选 FreeBuf 咨询《CCSIP 2022 中国网络安全行业全景册（第五版）》