概述
2024 年 6 月 11 日,以太坊网络上发现了一个重大安全漏洞,具体针对的是JokInTheBox项目。这次攻击造成了约 34,292 美元的财务损失。
链:以太坊
攻击者:0xfcd4acbc55df53fbc4c9d275e3495b490635f113
攻击合约:0x9d3425d45df30183fda059c586543dcdeb5993e6
受害者:0xa6447f6156effd23ec3b57d5edd978349e4e192d
$JOK 价格影响:~90%
分析
攻击始于攻击者发起交易( Etherscan 链接),使用 0.2 ETH通过Uniswap V2 获取 366,060,210 JOK 代币。随后,这些代币被转移到位于地址 0x9d3425d45df30183fda059c586543dcdeb5993e6 的攻击合约并被质押。
结论
JokInTheBox合约的主要漏洞是缺乏验证机制,无法确保在解除质押过程中质押的资产尚未被解除质押并被提取。此漏洞使攻击者能够反复解除质押并窃取所有用户的质押资产。
为了减轻此类漏洞的影响,项目团队必须在设计阶段严格验证其经济模型和代码逻辑。在部署合约之前聘请多家审计公司进行全面交叉审计可以显著增强安全性。此外,在整个开发生命周期中,必须注重强大的安全措施,确保对所有合约功能进行彻底的测试和验证,以防止将来发生类似的攻击。