Jimbos – Le protocole de « liquidité réactive » perd 7,5 millions de dollars suite à une attaque

Le secteur des cryptomonnaies – et plus particulièrement encore celui de la DeFi – pourrait être comparé à une pièce de monnaie et ses deux faces. Avec d’un côté son caractère innovant et définitivement avant-gardiste et de l’autre les risques liés à des expérimentations parfois farfelues et construites sur le fil du rasoir. Un exercice périlleux, surtout lorsque l’équipe de développeurs aux commandes agit avec un peu trop de légèreté. Dernier exemple en date, l’attaque du protocole Jimbos de « liquidité concentrée réactive » dont le préjudice dépasse les 7,5 millions de dollars.

29 mai 2023 - 11:00

Temps de lecture : 3 minutes

Par Hugh B.

Certains protocoles de la DeFi se donnent pour objectif de défricher des applications encore méconnues de la réalité monétaire liée au secteur des cryptomonnaies. Et cela peut donner des choses assez intéressantes, comme des stablecoins non adossés au dollar ou encore des solutions de prêts de type flash loans très appréciées des hackers en quête d’argent facile. Mais tout ne se passe pas nécessairement comme prévu.

Car il faut bien comprendre que ces expérimentations sont très risquées pour les investisseurs qui souhaitent tenter ce genre d’aventures. En effet, ces projets peuvent être – ou se transformer en – de simples pièges (rug pull) pour voler leurs fonds. Et si ce n’est pas le cas, des hackers peuvent faire ce travail à la place des développeurs à l’aide d’une faille laissée béante dans le code de leurs protocoles. Pour le projet Jimbos, c’est un « manque de contrôle du glissement de l’opération de transfert de liquidité » qui entraîne la perte de 4090 ETH !

Cryptomonnaies

Inferno Drainer - Le service de scam "clefs en main" fait des ravages

Hugh B. - 23 Mai 2023 - 15:30

L'imagination n'a décidément pas de limites lorsqu'il est question de mettre [...]

Lire la suite >>

Jimbos – Une succession de bugs

Bien souvent, les attaques dont sont victimes les protocoles interviennent de façon inattendues et sournoises. Puis il y a le projet Jimbos, déployé sur le réseau Arbitrum, et sa liste de bugs plus longue que sa simple durée de vie, puisque sa V1 a officiellement été lancée le 16 mai dernier. Mais alors, pourquoi parler d’une V1 ? Tout simplement car peu après son lancement, ce projet dédiée à la « liquidité concentrée réactive » a rencontré un bug majeur dans son smart contract qui empêchait son bon fonctionnement. Du coup une V2 a aussitôt été lancée afin de régler ce problème… et c’est le drame !

Il faut dire que le projet Jimbos avait clairement mis les petits plats dans les grands. Car à l’aide de sa cryptomonnaie JIMBO, il souhaitait offrir à ses investisseurs un outil « conçu pour fonctionner comme un jeton ERC-20 à prix plancher semi-stable et effet de levier optionnel. » C’est-à-dire une sorte de déclinaison « plus durable » du protocole Olympus DAO très populaire – et copié – durant le dernier marché haussier. Avec la garantie d’un smart contract « autonome et totalement fonctionnel dès le premier jour » car il ne devait pas y avoir « de futures mises à jour ou modifications de JIMBO après son lancement. »

Pourtant une V2 plus tard, rien ne semble se passer comme prévu pour le projet Jimbos. En effet, seulement quelques heures après le déploiement de ce correctif censé remettre les choses dans le bon ordre, une exploitation de faille a décidé de venir compliquer encore un peu plus ce foutoir numérique.

« Nous sommes conscients de l’exploit concernant notre protocole et sommes activement en contact avec les forces de l’ordre et les professionnels de la sécurité. Nous publierons de plus amples informations lorsque cela sera possible. »

Jimbos

Ethereum

Tornado Cash - Un pirate prend le contrôle de la gouvernance du mixeur Ethereum

Hugh B. - 22 Mai 2023 - 13:30

Les attaques du secteur de la DeFi ne se concentrent pas uniquement sur ses [...]

Lire la suite >>

Jimbos – 7,5 millions de dollars envolés

Dans les faits, cette exploitation de faille serait donc – encore une fois – la conséquence d’un manque de discernement des développeurs du protocole Jimbos. En effet, c’est à l’aide d’une désormais tristement célèbre « attaque flash loan » que le responsable de cette procédure de vidange a réussi à soutirer quelques 4090 ETH des caisses de ce projet. En cause, la déstabilisation orchestrée d’un manque de prise en compte du glissement des prix dans le cadre du transfert des liquidités, comme l’explique la structure de crypto-sécurité PeckShield.

« Il semble que le piratage du protocole Jimbos intervenu aujourd’hui entraîne la perte de 4090 ETH (~7,5 millions de dollars). Ce piratage est dû au manque de contrôle du glissement de l’opération de transfert de liquidité, de sorte que la liquidité appartenant au protocole est investie dans une fourchette de prix biaisée/déséquilibrée qui est exploitée dans un échange inversé à des fins lucratives. »

PeckShield

Conséquence directe de cette attaque, le prix de la cryptomonnaie JIMBO est passé en quelques minutes de 0,24$ à zéro. Et pendant ce temps, les développeurs de ce protocole tentent de résoudre le problème en faisant appelle à des acteurs emblématiques du secteur comme le désormais célèbre enquêteur crypto ZachXBT. Mais également en offrant comme solution à l’attaquant, via etherscan, un « arrêt total de toutes les enquêtes » s’il « restitue 90% des fonds volés. » Une méthode qui semble devenir la norme…

Protégez vos investissements en cryptomonnaies en choisissant des partenaires fiables et de confiance. Inscrivez-vous dès maintenant sur la plateforme PrimeXBT (lien commercial), la référence en matière de sécurité et de fiabilité.

Recevez le top 3 de l'actualité crypto chaque dimanche