L’accord proposé par Jimbos a été publié sur le réseau Ethereum et sur le Twitter officiel du protocole.
Jimbos Protocol offre 10% au hacker !
Trois jours après le lancement de sa v2, le protocole Jimbos a été hacké pour 7.5 millions de dollars. L’équipe derrière le protocole de finance décentralisée Jimbos a proposé un marché au hacker de l’application : garder 10 % des fonds et restituer les 90 % restants, sous peine de poursuites judiciaires. L’équipe ne compte pas s’arrêter tant que l’attaquant ne soit pas mis derrière les barreaux. L’accord proposé a été révélé dans un tweet du 28 mai par l’équipe Jimbos et a été publié sur le réseau Ethereum.
Le 28 mai à 7h25 UTC, l’équipe a posté un message sur le réseau Ethereum indiquant que l’attaquant ne serait pas poursuivi si 90 % des fonds étaient restitués.
Sans réponse, l’équipe a posté un autre message à 19 h 07, donnant au hacker un peu plus de délais pour restituer 90 % des fonds : demain avant 16 h UTC. L’équipe a prévenu qu’elle commencerait à travailler avec les forces de l’ordre si les fonds n’étaient pas restitués.
Pas de nouvelles du hacker, mais plusieurs pistes
Le 29 mai, après l’expiration du délai, l’équipe a annoncé sur Twitter qu’elle avait identifié des pistes prometteuses, dont une en particulier qui pourrait permettre à Jimbos d’identifier l’auteur de l’attaque. L’équipe a averti l’agresseur qu’elle ne voulait pas que la vie de qui que ce soit soit ruinée, mais laisse entendre qu’elle mettrait à exécution sa menace si l’agresseur n’obtempérait pas.
Jimbos se décrit comme un protocole de liquidité concentré et réactif (reactive concentrated liquidity protocol). Le 28 mai, le protocole a été victime d’une attaque de type “flash loan”, où un hacker a volé 7,5 millions de dollars détenus dans ses réserves. D’après l’analyse de Numen Cyber Labs, l’attaquant a profité d’une faille dans le contrat JimboController permettant à n’importe qui d’appeler la fonction shift() et d’ajouter des liquidités au pool. Avec cette méthode, le hacker manipule le prix de vente du jeton JIMBO lors de l’encaissement, drainant ainsi 7,5 millions de dollars d’ETH du pool.
Les hacks et les failles sont des problèmes courant et redondant dans le Web3 et la DeFi. Heureusement pour les utilisateurs, les hackers ne sont pas tous malveillants et restituent parfois la plupart des fonds après avoir négocié avec les équipes de développement. Le 13 mars, Euler Finance avait été piraté pour plus de 195 millions de dollars, la plus grande attaque de 2023 connut à ce jour. L’attaquant avait ensuite restitué la quasi-totalité des fonds. Le protocole Liquidity Sentiment avait été exploité de la même manière le 4 avril, mais l’attaquant n’avait finalement restitué que 85 % des fonds volés.
L’équipe de Jimbos affirme travailler avec les mêmes chercheurs en sécurité et analystes on-chain qui ont enquêté sur les deux incidents précédents.
Source : Données de la blockchain Ethereum, Twitter Jimbo
Sur le même sujet :
- Arbitrum : 3 jours après le lancement de sa v2, le protocole Jimbos a été hacké pour 7.5 millions de dollars
- DeFi : un hack de quasiment 200 millions $ sur Euler Finance
- La blockchain Solana intègre ChatGPT et lance un incubateur pour des projets d’IA