- Der Angreifer nutzte das Fehlen einer Slippage-Kontrolle im Liquiditätspool.
- Es entstand eine Sicherheitslücke, durch die Swap-Aufträge rückgängig gemacht werden konnten.
Jimbos, ein Protokoll auf der Arbitrum-Blockchain, wurde laut dem Blockchain-Analysten PeckShield gehackt, berichtet Cointelegraph. Die Angreifer konnten 4.000 Ether erbeuten. Die Token sind derzeit etwa 7,5 Millionen US-Dollar wert.
Die Angreifer nutzten das Fehlen einer Slippage-Kontrolle aus. Die Liquidität von Jimbos wird in einer ungleichmäßigen Preisspanne angelegt, wodurch eine Sicherheitslücke entstand. Dadurch konnten Swap-Aufträge zum Vorteil der Cyber-Kriminellen rückgängig gemacht werden.
Der Angreifer nahm einen Flash-Kredit in Höhe von 5,9 Millionen US-Dollar auf, manipulierte die Preise für JIMBO-Token und machte sich mit den Geldern der Community davon.
Protokoll hatte eine logische Schwachstelle
Jimbos ging vor weniger als drei Wochen live und sollte die Volatilität und Liquidität von Token durch einen neuen Ansatz beheben. Seine Entwickler wollten eine "halbstabile" Kryptowährung herausgeben, die durch eine Sammlung von Token gestützt wird.
Der Mechanismus erwies sich als unzureichend, was zu einer logischen Schwäche führte, die ihn anfällig für Angriffe machte.
Laut den Daten von PeckShield stahlen die Angreifer 4.090 ETH aus dem Arbitrum Network. Anschließend nutzten sie das Celer Network und die Stargate-Brücke, um rund 4.048 ETH aus dem Ethereum-Mainnet zu transferieren.
Jimbos arbeitet mit Sicherheitsexperten zusammen, um das Geld zurückzubekommen. Sollten die Angreifer die gestohlenen Coins nicht freiwillig zurückgeben, werden die Strafverfolgungsbehörden kontaktiert.
Arbitrum scheint besonders anfällig zu sein
Hacks von DeFi-Protokollen sind beileibe kein neues Phänomen. Der DeFi-Raum wird weiterhin von zahlreichen Angriffen geplagt. Am 19. Mai verschwanden die Entwickler von Swaprum, einer dezentrale Kryptobörse, die ebenfalls auf der Arbitrum-Blockchain basierte, mit Einlagen der Nutzer im Wert von 3 Millionen US-Dollar. Der Wert des SWAP-Tokens sank daraufhin auf Null.
Der DeFi-Bereich kämpft damit, seine Nutzer vor Schwachstellen und unbefugtem Zugriff zu schützen. Kürzlich wurde auch das 0VIX-Protokoll Opfer eines Flash Loan-Angriffs, der zu einem Verlust von fast 2 Millionen US-Dollar führte.
Tornado Cash wurde früher angegriffen
Wie wir vor kurzem berichteten, übernahm ein oder mehrere unbekannte Angreifer die DAO, die die Gelder, Operationen und Projekte des Privacy-Protokolls Tornado Cash verwaltet.
Sie fügten bösartigen Code in einen Smart Contract ein, der eine wichtige Funktion versteckte und den Angreifern gefälschte Stimmen gewährte. Diese konnten dazu verwenden werden, native Token von Tornado Cash (TORN) abzuheben. Der Angreifer bot später an, die Änderungen am Smart Contract rückgängig zu machen.
Mitwirkende
