Jimbos, un protocolo en la cadena de bloques de Arbitrum, ha sido pirateado, según el analista de cadenas de bloques PeckShield, informa Cointelegraph. Los atacantes pudieron capturar 4.000 Ether. Los tokens actualmente tienen un valor de alrededor de $ 7.5 millones.
Los atacantes aprovecharon la falta de un control de deslizamiento. La liquidez de Jimbos está invertida en un rango de precios desigual, lo que creó una brecha de seguridad. Esto permitió revertir las órdenes de intercambio en beneficio de los ciberdelincuentes.
El atacante obtuvo un préstamo rápido de $ 5,9 millones, manipuló los precios de los tokens JIMBO y se apoderó de los fondos de la comunidad.
El protocolo tenía una vulnerabilidad lógica.
Jimbos se puso en marcha hace menos de tres semanas y tenía como objetivo corregir la volatilidad y la liquidez de los tokens con un nuevo enfoque. Sus desarrolladores querían lanzar una criptomoneda «semiestable» respaldada por una colección de tokens.
El mecanismo resultó inadecuado, lo que resultó en una debilidad lógica que lo hizo vulnerable al ataque.
Según datos de PeckShield, los atacantes robaron 4.090 ETH de Arbitrum Network. Luego utilizaron Celer Network y Stargate Bridge para transferir alrededor de 4048 ETH desde la red principal de Ethereum.
Jimbos está trabajando con expertos en seguridad para recuperar el dinero. Si los atacantes no devuelven voluntariamente las monedas robadas, se contactará a las fuerzas del orden.
Arbitrum parece ser particularmente vulnerable
La piratería de los protocolos DeFi no es de ninguna manera un fenómeno nuevo. El espacio DeFi continúa plagado de numerosos ataques. El 19 de mayo, los desarrolladores de Swaprum, un criptointercambio descentralizado también basado en la cadena de bloques Arbitrum, desaparecieron con $3 millones en depósitos de usuarios. El valor del token SWAP luego cayó a cero.
El espacio DeFi lucha por proteger a sus usuarios de vulnerabilidades y accesos no autorizados. Recientemente, el protocolo 0VIX también fue víctima de un ataque Flash Loan que resultó en una pérdida de casi $2 millones.
Tornado Cash fue atacado antes
Como informamos recientemente, uno o más atacantes desconocidos se apoderaron de DAO, que administra los fondos, las operaciones y los proyectos del protocolo de privacidad de Tornado Cash.
Inyectaron código malicioso en un contrato inteligente que ocultaba una función importante y otorgaba votos falsos a los atacantes. Estos podrían usarse para retirar tokens nativos de Tornado Cash (TORN). Más tarde, el atacante se ofreció a revertir los cambios en el contrato inteligente.