No terceiro ataque hacker contra plataformas de criptomoedas da semana, o projeto Jimbos Protocol, que foi lançada há apenas 3 dias, ficou em uma situação complicada, perdendo cerca de 4.090 ETH, equivalentes a US$ 7,5 milhões, cerca de 37 milhões de reais.
De acordo com especialistas da PeckShield, a vulnerabilidade explorada pelos hackers estava relacionada à falta de controle do protocolo sobre os tokens em sua pool de liquidez.
Os invasores utilizaram um flashloan de US$ 5,9 milhões, no qual os tokens são emprestados e reembolsados instantaneamente, para executar o ataque.
It appears today's @jimbosprotocol hack leads to the 4090 ETH loss (w/ ~$7.5M).
This hack is due to the lack of slippage control of liquidity-shifting operation — such that the protocol-owned liquidity is invested into a skewed/imbalanced price range, which is exploited in… https://t.co/wnQAeksojz pic.twitter.com/TPlqNlvnZD
— PeckShield Inc. (@peckshield) May 28, 2023
Jimbos Protocol
O protocolo Jimbos, baseado na blockchain Arbitrum, tinha como objetivo criar um token com um preço mínimo semi-estável, respaldado por uma quantidade de ativos.
Inspirado no projeto Olympus DAO, que experimentou um rápido aumento de preço antes de colapsar, o Jimbos Protocol procurou fazer alterações para torná-lo mais sustentável.
A ideia central era usar a própria liquidez do projeto, combinada com taxas e incentivos, para sustentar o preço do token.
No entanto, logo após o lançamento inicial em 16 de maio, um bug no contrato inteligente impediu que o protocolo funcionasse corretamente.
Os usuários foram aconselhados a não interagir com a versão 1 e aguardar a versão 2. Infelizmente, mesmo após o lançamento da versão 2, o protocolo foi alvo de um ataque que resultou em uma queda drástica no preço do token, de US$ 0,24 para US$ 0, de acordo com a exchange descentralizada TraderJoe.
Em uma declaração no Twitter, o protocolo Jimbos afirmou estar ciente da exploração e em contato ativo com as autoridades policiais e profissionais de segurança. Prometeram divulgar mais informações assim que possível.
No site oficial do projeto, há um aviso destacando que os mecanismos implementados são experimentais e que os contratos não foram auditados. Os usuários são alertados de que qualquer quantia de dinheiro investida no protocolo pode ser perdida devido a circunstâncias imprevistas.
We are aware of the exploit regarding our protocol and are actively in contact with law enforcement and security professionals.
We will release further information when possible.
— Jimbos Protocol (v2, soon) (@jimbosprotocol) May 28, 2023
O conhecido investidor cripto DCF God revelou ter adquirido alguns tokens Jimbo em 25 de maio, antes de perceber que o recurso desejado não estava disponível. Em uma recente declaração, ele expressou sua frustração, afirmando: “Ah, e agora sou robusto”.
O ataque ao Protocolo Jimbos é um lembrete contundente dos riscos inerentes às finanças descentralizadas e da importância de conduzir auditorias de segurança abrangentes antes do lançamento de projetos de criptomoedas.
A comunidade cripto e os desenvolvedores são instados a aprender com esse incidente e adotar práticas mais rigorosas para evitar futuras explorações e perdas significativas para os usuários.
