Jimbos Protocol, un projet DeFi basé sur Arbitrum, a subi une attaque de prêt flash qui a entraîné la perte de plus de 4000 jetons ETH, actuellement évalués à plus de 7 500 000 $.
La société a révélé l’attaque sur Twitter hier, affirmant que les forces de l’ordre avaient été informées et qu’elle travaillait avec des professionnels de la sécurité pour remédier à la situation.
L’attaque s’est produite seulement trois jours après que la plate-forme a lancé son protocole V2, à un moment où de nombreuses personnes venaient d’investir dans son jeton « jimbo », et l’auteur a réussi à voler 4 090 jetons ETH.
Le jeton jimbo a un prix plancher semi-stable soutenu par des actifs, tandis que la plate-forme a mis en place des mécanismes tels que des taxes et des incitations pour aider à maintenir une valeur stable.
Après le piratage, cependant, le prix de jimbo s’est effondré rapidement, passant de 0,238 $ à seulement 0,0001 $ au moment de la rédaction.
Selon les experts en sécurité de la blockchain de PeckShield, le protocole Jimbos a été victime d’une attaque de prêt flash qui a tiré parti du manque de contrôle du glissement sur la plate-forme.
Les prêts flash sont des actions où les utilisateurs empruntent une grande quantité de jetons et sont censés les rembourser dans la même transaction (immédiatement).
Si l’attaquant exploite une faille de la plateforme DeFi ou s’il manipule le prix du jeton pendant cette très courte période entre la réception du montant et son remboursement, il peut garder la différence aux frais du prêteur.
Nous avons vu cela se dérouler à plusieurs reprises dans des protocoles de prêt théoriquement bien sécurisés et minutieusement audités. Un exemple récent notable est l’attaque de prêt flash qui a frappé Euler Finance, entraînant une perte massive de 197 millions de dollars.
Dans le cas du protocole Jimbos, l’attaquant a contracté un prêt flash de 5,9 millions de dollars, a manipulé le marché pour fausser la fourchette de prix, a échangé les jetons et s’est échappé avec 4 090 ETH.
Le contrôle du glissement est une mesure qui limite les changements de prix symboliques pour garantir que leur fluctuation reste dans une plage acceptable depuis le début d’une transaction jusqu’à son achèvement, dans ce cas, un prêt flash.
Jimbo Protocol avait averti les investisseurs de la nature « expérimentale » de Jimbo V1, affirmant que « les contrats ne sont pas audités et […] toute somme d’argent que vous investissez dans ce protocole peut être perdue en raison de circonstances imprévues à tout moment ».
Cependant, Jimbo V2 a été prétendument conçu pour corriger le glissement et d’autres problèmes de sécurité évidents. En tant que tel, il a été projeté comme une opportunité d’investissement plus fiable, au moins pour une brève période de trois jours.
L’incident a placé Jimbos Protocol dans une situation difficile et la plateforme a envoyé un message en chaîne aux auteurs leur demandant de restituer 90% des fonds volés en échange de la promesse de ne pas engager de poursuites judiciaires contre eux.