Jimbos – Le protocole de « liquidité réactive » perd 7,5 millions de dollars suite à une attaque
Le secteur des cryptomonnaies – et plus particulièrement encore celui de la DeFi – pourrait être comparé à une pièce de monnaie et ses deux faces. Avec d’un côté son caractère innovant et définitivement avant-gardiste et de l’autre les risques liés à des expérimentations parfois farfelues et construites sur le fil du rasoir. Un exercice périlleux, surtout lorsque l’équipe de développeurs aux commandes agit avec un peu trop de légèreté. Dernier exemple en date, l’attaque du protocole Jimbos de « liquidité concentrée réactive » dont le préjudice dépasse les 7,5 millions de dollars.
29 mai 2023 - 11:00
Temps de lecture : 3 minutes
Par Hugh B.
Certains protocoles de la DeFi se donnent pour objectif de défricher des applications encore méconnues de la réalité monétaire liée au secteur des cryptomonnaies. Et cela peut donner des choses assez intéressantes, comme des stablecoins non adossés au dollar ou encore des solutions de prêts de type flash loans très appréciées des hackers en quête d’argent facile. Mais tout ne se passe pas nécessairement comme prévu.
Car il faut bien comprendre que ces expérimentations sont très risquées pour les investisseurs qui souhaitent tenter ce genre d’aventures. En effet, ces projets peuvent être – ou se transformer en – de simples pièges (rug pull) pour voler leurs fonds. Et si ce n’est pas le cas, des hackers peuvent faire ce travail à la place des développeurs à l’aide d’une faille laissée béante dans le code de leurs protocoles. Pour le projet Jimbos, c’est un « manque de contrôle du glissement de l’opération de transfert de liquidité » qui entraîne la perte de 4090 ETH !
Jimbos – Une succession de bugs
Bien souvent, les attaques dont sont victimes les protocoles interviennent de façon inattendues et sournoises. Puis il y a le projet Jimbos, déployé sur le réseau Arbitrum, et sa liste de bugs plus longue que sa simple durée de vie, puisque sa V1 a officiellement été lancée le 16 mai dernier. Mais alors, pourquoi parler d’une V1 ? Tout simplement car peu après son lancement, ce projet dédiée à la « liquidité concentrée réactive » a rencontré un bug majeur dans son smart contract qui empêchait son bon fonctionnement. Du coup une V2 a aussitôt été lancée afin de régler ce problème… et c’est le drame !
Il faut dire que le projet Jimbos avait clairement mis les petits plats dans les grands. Car à l’aide de sa cryptomonnaie JIMBO, il souhaitait offrir à ses investisseurs un outil « conçu pour fonctionner comme un jeton ERC-20 à prix plancher semi-stable et effet de levier optionnel. » C’est-à-dire une sorte de déclinaison « plus durable » du protocole Olympus DAO très populaire – et copié – durant le dernier marché haussier. Avec la garantie d’un smart contract « autonome et totalement fonctionnel dès le premier jour » car il ne devait pas y avoir « de futures mises à jour ou modifications de JIMBO après son lancement. »
Pourtant une V2 plus tard, rien ne semble se passer comme prévu pour le projet Jimbos. En effet, seulement quelques heures après le déploiement de ce correctif censé remettre les choses dans le bon ordre, une exploitation de faille a décidé de venir compliquer encore un peu plus ce foutoir numérique.
« Nous sommes conscients de l’exploit concernant notre protocole et sommes activement en contact avec les forces de l’ordre et les professionnels de la sécurité. Nous publierons de plus amples informations lorsque cela sera possible. »
Jimbos
Jimbos – 7,5 millions de dollars envolés
Dans les faits, cette exploitation de faille serait donc – encore une fois – la conséquence d’un manque de discernement des développeurs du protocole Jimbos. En effet, c’est à l’aide d’une désormais tristement célèbre « attaque flash loan » que le responsable de cette procédure de vidange a réussi à soutirer quelques 4090 ETH des caisses de ce projet. En cause, la déstabilisation orchestrée d’un manque de prise en compte du glissement des prix dans le cadre du transfert des liquidités, comme l’explique la structure de crypto-sécurité PeckShield.
« Il semble que le piratage du protocole Jimbos intervenu aujourd’hui entraîne la perte de 4090 ETH (~7,5 millions de dollars). Ce piratage est dû au manque de contrôle du glissement de l’opération de transfert de liquidité, de sorte que la liquidité appartenant au protocole est investie dans une fourchette de prix biaisée/déséquilibrée qui est exploitée dans un échange inversé à des fins lucratives. »
PeckShield
Conséquence directe de cette attaque, le prix de la cryptomonnaie JIMBO est passé en quelques minutes de 0,24$ à zéro. Et pendant ce temps, les développeurs de ce protocole tentent de résoudre le problème en faisant appelle à des acteurs emblématiques du secteur comme le désormais célèbre enquêteur crypto ZachXBT. Mais également en offrant comme solution à l’attaquant, via etherscan, un « arrêt total de toutes les enquêtes » s’il « restitue 90% des fonds volés. » Une méthode qui semble devenir la norme…
Protégez vos investissements en cryptomonnaies en choisissant des partenaires fiables et de confiance. Inscrivez-vous dès maintenant sur la plateforme PrimeXBT (lien commercial), la référence en matière de sécurité et de fiabilité.
Restons connectés
7,831 followers
17,800 followers
136,000 followers
1,244 followers