HomeBlockchainSicurezzaUn protocollo crypto decentralizzato sviluppato su Arbitrum è stato vittima di un...

Un protocollo crypto decentralizzato sviluppato su Arbitrum è stato vittima di un hack da 7,7 milioni di dollari

Ieri, un protocollo sulla blockchain di Arbitrum è stato vittima di un hack che ha portato alla perdita di 7,7 milioni di dollari in crypto.

L’attaccante è stato in grado di sfruttare un problema riguardante la gestione dello slippage interna al protocollo, guadagnando una fortuna in pochi minuti.

Cerchiamo di approfondire meglio la faccenda.

Jimbos, crypto protocollo di Arbitrum, hackerato per 7,7 milioni

Domenica 28 maggio alle ore 02.30 Jimbos, un protocollo decentralizzato crypto basato su Arbitrum, è stato violato per 4.090 Ether, corrispondenti ad oltre 7,7 milioni di dollari.

L’hacker è stato in grado di sfruttare un problema di slippage della piattaforma per effettuare una serie di transazioni portandosi a casa il bottino e svuotando le pool del protocollo.

Lo slippage, per chi non lo sapesse, riguarda la differenza tra il prezzo atteso di un operazione ed il prezzo al quale realmente viene eseguita.

Questo spread solitamente si manifesta quando vengono effettuati grandi ordini da parte di whales che sbilanciano il rapporto tra due token presenti in una pool, o quando vi è poca liquidità all’interno di un mercato decentralizzato.

In questo caso, però, il problema del protocollo Jimbos non riguarda lo slippage in sè, ma piuttosto l’assenza di una misura di controllo in grado di limitare effetti indesiderati.

Questo indirizzo, grazie alla falla manifestata dal sistema, è riuscito a manipolare la liquidità del protocollo a prezzi sballati, rimuovendo dalle pool 4090 ether attraverso un’operazione di reverse swap.

La notizia è stata immediatamente notata e segnalata su Twitter  da Peckshield, società di sicurezza informatica nel mondo del web3, e successivamente annunciata anche dal team ufficiale del progetto Jimbos

Il protocollo Jimbos, creato neanche un mese fa, aveva come obiettivo quello di affrontare la volatilità del proprio token nativo JIMBO attraverso un approccio di test.

Purtroppo la vulnerabilità dello slippage è stata fatale ed ha permesso al soggetto malintenzionato di sfruttarla a proprio favore alterando il prezzo del token, che nella notte di ieri ha perso circa il 40% del proprio valore.

Nel grafico seguente (mercato TraderJoe V2 coppia JIMBO-WETH)  è possibile vedere una candela rossa di grandi dimensioni, esplicativa di quanto accaduto. 

Alle ore 02 del 28 maggio, la candela ha aperto con un prezzo di 0,24 dollari, ha toccato un high tramite spike di 1808 dollari ed ha chiuso a 0,19 dollari per token.

È evidente come la manipolazione mostruosa del prezzo di JIMBO abbia concesso all’attaccante di trarne profitto.

Il flusso dei fondi rubati su Jimbo e la fuga dell’hacker

Dopo aver manomesso la stabilità dei prezzi del protocollo crypto basato su Arbitrum, il criminale ha utilizzato il Bridge Stargate per spostare i 4090 ETH rubati sulla rete Celer.

In precedenza lo stesso individuo aveva utilizzato il mixer Tornado Cash per estrarre la 1.6 ETH come liquidità di partenza con cui pagare le fees di commissione per le sue operazioni.

Tornado Cash è un protocollo con focus sulla privacy che consente a chi lo utilizza di far perdere le tracce delle proprie transazioni, mixando i propri fondi con quelli degli altri utenti della piattaforma.

Dopo varie transazioni, i fondi sono arrivati a questo indirizzo, nel quale sono attualmente custoditi.

L’immagine seguente proposta da Peckshield ci mostra come si è svolto il flusso delle crypto rubate dall’aggressore, che alla fine dei conti si è intascato 4048,3 ETH.

Arbitrum crypto hack

Il team di Jimbos, dopo essersi accorto della fuga del capitale, ha affermato sui social media  di aver contattato le forze dell’ordine e diverse squadre di esperti in sicurezza informatica che hanno lavorato in passato negli exploit di Euler Finance e Santiment.

Ricordiamo che tutte le transazioni che avvengono in criptovalute sono visibili pubblicamente sulla blockchain, nonostante le narrative comuni dei detrattori del settore le descrivono come impossibili da rintracciare.

Qualora l’attaccante dovesse fare un passo falso, provando ad esempio a vendere per FIAT gli ETH rubati, verrebbe scoperto dagli analisti che gli stanno col fiato sul collo e tramite la collaborazione dell’exchange in questione potrebbe essere identificato velocemente.

Un utente esperto di sicurezza web3, coinvolto nel team di supporto a Jimbos, in merito alla notizia ha lasciato intendere che le cose potrebbero mettersi male per il ladro se non restituirà immediatamente i fondi

Crypto e sicurezza informatica: gli hack non riguardano solo Arbitrum

Purtroppo hack ed exploit nel mondo crypto sono all’ordine del giorno e non riguardano esclusivamente la rete Arbitrum, ma l’intero settore DeFi.

Nonostante svariati miliardi di dollari siano investiti all’interno di una moltitudine di protocolli decentralizzati, questo tipo di finanza, svincolata da intermediari di fiducia, rappresenta ancora un esperimento da migliorare.

In particolare, la complessità dei contratti intelligenti su cui si basano questi mercati, fa sì che un solo errore nel codice o un bug possono risultare fatali e compromettenti per l’intero progetto.

Nel solo mese di maggio, contando l’ultimo hack di Jimbos, sono stati rubati quasi 17 milioni di dollari, il chè alla fine dei conti costituisce una somma infima rispetto a quanto portato via da hacker e ladri informatici.

Infatti, i dati di DefiLama ci mostrano come il totale hackerato dal 2016 in poi ammonta a circa 6,5 miliardi di dollari, con un record di 782 milioni nel mese di ottobre 2022.

La nicchia più colpita in questo contesto è quella dei bridge, altamente vulnerabili e piene di falle che puntualmente sono state sfruttate da qualche utente malintenzionato.

Solo dai bridge sono stati portati via circa 2,5 miliardi di dollari.

L’augurio per gli anni a venire è quello di poter sviluppare una sorta di protezione nei confronti degli attacchi informatici, attraverso la diffusione di una consapevolezza riguardo queste problematiche e tramite una regolamentazione del mondo DeFi più rigida per i crypto criminali.

Purtroppo l’evoluzione tecnologica e la creazione di applicazioni innovative include questi incidenti di percorso, che, tuttavia, devono essere presi come lezione dalla community per sviluppare metodi di protezione idonei per il futuro.

Alessandro Adami
Alessandro Adami
Laureato in "Informazione, Media e Pubblicità", da oltre 4 anni interessato al settore delle criptovalute e delle blockchain. Co-Fondatore di Tokenparty, community attiva nella diffusione di crypto-entuasiasmo. Co-fondatore di Legal Hackers Civitanova marche. Consulente nel settore delle tecnologie dell'informatica. Ethereum Fan Boy e sostenitore degli oracoli di Chainlink, crede fermamente che in futuro gli smart contract saranno centrali all'interno dello sviluppo della società.
RELATED ARTICLES

MOST POPULARS

GoldBrick