Jimbos Protocol, un protocolo de liquidez basado en Arbitrum, sufrió una explotación que resultó en una pérdida significativa de 4.000 Ethereum (ETH), aproximadamente valorados en $7.5 millones, el 27 de mayo. Tras el hackeo, los desarrolladores detrás de Jimbos han comenzado a tomar medidas activas, trabajando con múltiples investigadores de seguridad y analistas on-chain para avanzar.
Los protocolos de finanzas descentralizadas (DeFi) no son extraños a incidentes de hackeo. A pesar de una disminución reportada en la frecuencia de dichos ataques en comparación con años anteriores, la comunidad continúa siendo vulnerable a diversas explotaciones. Con información de Chainalysis, una plataforma de datos blockchain, se estima que se robaron alrededor de $3.8 mil millones en hacks de criptomonedas. La mayoría de los hacks tuvieron lugar en Jimbos DeFi. Según informes de TRM Labs el 21 de mayo de 2023,
«El tamaño promedio de los hacks también disminuyó en el primer trimestre de 2023 – a USD 10.5 millones desde casi USD 30 millones en el mismo trimestre de 2022, incluso cuando el número de incidentes fue similar (alrededor de 40).»
OTRO ATAQUE Al mundo DEFI
El 28 de mayo, la firma de seguridad blockchain PeckShield reveló en Twitter que Jimbos sufrió una violación de seguridad que resultó en la pérdida de fondos solo tres días después de lanzar su versión 2. Se informa que el hacker explotó una laguna en la falta de control de un slippage en las conversiones de liquidez en el sistema del protocolo Jimbos, lo que le brindó la oportunidad de manipular órdenes de trading para obtener ganancias personales.
It appears today's @jimbosprotocol hack leads to the 4090 ETH loss (w/ ~$7.5M).
This hack is due to the lack of slippage control of liquidity-shifting operation — such that the protocol-owned liquidity is invested into a skewed/imbalanced price range, which is exploited in… https://t.co/wnQAeksojz pic.twitter.com/TPlqNlvnZD
— PeckShield Inc. (@peckshield) May 28, 2023
La firma de seguridad informó además que el hacker utilizó un préstamo flash de $5.9 millones y manipuló los precios de su token nativo JIMBO para llevar a cabo el ataque. Para los no iniciados, el slippage se refiere a la diferencia entre el precio esperado de una transacción y el precio al que se ejecuta. Esta variación puede surgir cuando se utilizan órdenes de mercado durante alta volatilidad, lo que lleva a fluctuaciones significativas de precios. Peckshield escribió:
«Este hackeo se debe a la falta de control de slippage de la operación de cambio de liquidez, tal que la liquidez propiedad del protocolo se invierte en un rango de precios sesgado/desequilibrado, que es explotado en un trading inverso para obtener ganancias.»
PLANES PARA LA RECUPERACIÓN DE JIMBOS PROTOCOL
Quick update:
We are already working with multiple security researchers and on-chain analysts who helped with both the Euler Finance and Sentiment exploits.
We will start working with law enforcement agencies tomorrow by 4PM UTC if this isn’t sorted out by then.
— Jimbos Protocol (v2, soon) (@jimbosprotocol) May 28, 2023
Tras el ataque, los desarrolladores de Jimbos anunciaron en Twitter que ya han comenzado a trabajar con múltiples investigadores de seguridad y analistas on-chain para investigar el incidente, identificar las vulnerabilidades e implementar las medidas de seguridad necesarias para evitar ataques similares en el futuro. Además, el equipo también parece estar colaborando con agencias de aplicación de la ley para investigar el incidente.
