Информация о сделке была размещена как в сети Ethereum, так и на официальном канале протокола в Twitter.
Команда, стоящая за эксплуатируемым приложением для децентрализованных финансов (DeFi) Jimbos Protocol, предложила эксплуатанту приложения сделку: 10% средств оставить себе, а остальные 90% вернуть, или подвергнуться судебному преследованию. В противном случае команда "не остановится", пока злоумышленник не окажется "за решеткой". Предлагаемая сделка была раскрыта в твите команды Jimbos 28 мая и опубликована в сети Ethereum.
"Нападающему: получите быструю зарплату в 800 тысяч долларов и живите, чтобы рассказать об этом. Мы не будем преследовать вас, если вы вернете 90%. Но если вы этого не сделаете, мы не остановимся, пока вы не окажетесь за решеткой.
- Jimbos Protocol (@jimbosprotocol) 29 мая 2023 г."
28 мая в 7:25 утра по UTC команда разместила в сети Ethereum сообщение о том, что злоумышленник не будет привлечен к ответственности, если 90% средств будут возвращены.
Не получив ответа, команда разместила еще одно сообщение в 19:07, дав злоумышленнику срок "завтра к 16:00 UTC" для возврата 90% средств и предупредив, что команда "начнет работать с правоохранительными органами", если средства не будут возвращены.
29 мая, после истечения установленного срока, команда объявила в Твиттере, что она "выявила многообещающие зацепки, и в частности одну", которая может позволить Jimbos идентифицировать нападавшего. Команда предупредила нападавшего, что "мы не хотим, чтобы чьи-то жизни были разрушены, но если у нас нет выбора, мы сделаем то, что скажем", подразумевая, что протокол выполнит свою угрозу обратиться в полицию, если нападавший не подчинится.
Jimbos описывает себя как “протокол реактивной концентрированной ликвидности”. Он пытается удержать цену своего токена JIMBO выше установленной минимальной цены, накапливая эфир в казначействе протокола и используя его для защиты цены токена.
28 мая протокол стал жертвой атаки флэш-кредитования, когда злоумышленник вывел 7,5 миллионов долларов из принадлежащего казначейству пула ликвидности. Согласно анализу Numen Cyber Labs, злоумышленник воспользовался недостатком в контракте JimboController, который позволял любому вызвать функцию shift() и добавить ликвидность в пул. Это позволило злоумышленнику манипулировать ценой продажи токена JIMBO при обналичивании средств, выкачивая из пула Эфир на сумму 7,5 миллионов долларов.
Эксплойты DeFi - распространенная проблема в экосистеме Web3. Но, к счастью для пользователей, эксплуататоры иногда возвращают большую часть средств после переговоров с командами разработчиков. 13 марта компания Euler Finance была взломана на сумму более 195 миллионов долларов, что стало крупнейшей атакой 2023 года на данный момент. Однако впоследствии злоумышленник вернул почти все средства. Протокол Liquidity Protocol Sentiment подвергся аналогичной атаке 4 апреля, но 6 апреля злоумышленник вернул 85% использованных средств.
Команда Jimbos Protocol утверждает, что работает с теми же "исследователями безопасности и сетевыми аналитиками", которые расследовали эти два предыдущих инцидента, информирует Cointelegraph.