概述
2024 年 6 月 11 日,以太坊網絡上發現了一個重大安全漏洞,具體針對的是JokInTheBox項目。這次攻擊造成了約 34,292 美元的財務損失。
鏈:以太坊
攻擊者:0xfcd4acbc55df53fbc4c9d275e3495b490635f113
攻擊合約:0x9d3425d45df30183fda059c586543dcdeb5993e6
受害者:0xa6447f6156effd23ec3b57d5edd978349e4e192d
$JOK 價格影響:~90%
分析
攻擊始於攻擊者發起交易( Etherscan 鏈接),使用 0.2 ETH通過Uniswap V2 獲取 366,060,210 JOK 代幣。隨後,這些代幣被轉移到位於地址 0x9d3425d45df30183fda059c586543dcdeb5993e6 的攻擊合約並被質押。
結論
JokInTheBox合約的主要漏洞是缺乏驗證機制,無法確保在解除質押過程中質押的資產尚未被解除質押並被提取。此漏洞使攻擊者能夠反覆解除質押並竊取所有用戶的質押資產。
為了減輕此類漏洞的影響,項目團隊必須在設計階段嚴格驗證其經濟模型和代碼邏輯。在部署合約之前聘請多家審計公司進行全面交叉審計可以顯著增強安全性。此外,在整個開發生命週期中,必須注重強大的安全措施,確保對所有合約功能進行徹底的測試和驗證,以防止將來發生類似的攻擊。
