北京時間2022年4月13日凌晨0點49分,CertiK審計團隊監測到ElephantMoney被攻擊,導致27,416.46枚BNB遭受損失。
下文CertiK安全團隊將從該項目攻擊操作及合約等方面為大家詳細解讀并分析。請大家注意識別風險,謹慎投資!
攻擊步驟
攻擊者利用了TRUNK代幣的贖回機制,通過操縱價格預言機以贖出更多的代幣,并從一個Treasury合約中竊取了ELEPHANT。該Treasury合約是一個未經驗證的合約。
QCP Capital:SpaceX出售比特幣及其對特斯拉影響的猜測引發BTC暴跌:金色財經報道,加密貨幣交易公司 QCP Capital 在其最新的市場更新中表示,市場突然波動的催化劑似乎是《華爾街日報》的一篇文章,該文章重新審視了SpaceX在2021年和2022年的比特幣賣出行為。該文章暗示,SpaceX 在首席執行官埃隆·馬斯克 (Elon Musk) 的領導下可能已拋售其持有的比特幣,引發市場猜測特斯拉可能也做了同樣的事情,QCP補充說,這種猜測“帶回了2021年和2022年由馬斯克驅動的頂部和底部的幽靈”。[2023/8/19 18:09:32]
①攻擊者部署了一個攻擊者合約,并使用閃電貸從多個pair池中借取了WBNB和BUSD。
CME比特幣期貨合約7月交易量創年內新高:金色財經報道,據The Block數據顯示,CME比特幣期貨在7月份創下了今年以來的最高月度交易量。截至發稿時,CME比特幣期貨7月交易量達到533.3億美元,超過了今年4月達到的年內前高點530.6億美元。截至7月29日,CME比特幣期貨市場未平倉合約量為25億美元。
此外,目前日均現貨交易量(7日移動均線)為111億美元,接近今年最低水平,大約是3月創下逾400億美元年度高點時的四分之一。[2023/7/30 16:06:33]
②大部分被借來的WBNB被換成了ELEPHANT,以提高ELEPHANT的價格。
西班牙證券監管機構對加密貨幣相關投資發出警告:金色財經報道,西班牙證券監管機構(CNMV)警告投資者不要將資金投入加密貨幣相關公司。該組織的副總裁Montserrat Martinez Parera表示,缺乏控制是加密貨幣交易所FTX崩潰的原因之一,任何將加密貨幣視為投資的人都必須非常小心,因為該領域缺乏監管。
Martinez Parera還警告投資者不要踏上這類投資之旅,并表示,鑒于這一生態系統仍然缺乏監管和控制,他們應該極其謹慎地對待任何與加密貨幣相關的機會。她還呼吁有興趣的各方等待歐洲正在討論的加密貨幣框架MiCA獲得批準,以便更清楚地了解如何監管加密資產投資。(news.bitcoin)[2022/11/30 21:12:54]
③隨著ELEPPHANT價格的提高,攻擊者的合約觸發了ElephantMoney中一個未經驗證合約的鑄幣方法。
借貸的BUSD被放置到該合約上,以鑄造TRUNK。
部分的BUSD被換成了ELEPHANT。由于ELEPHANT的價格在上一步中被提高了,所以換來的ELEPHANT的數量比預期的要少。
所有的代幣被發送到Treasury合約。
④攻擊者合約將ELEPHANT掉包成了WBNB,以降低ELEPHANT的價格。
⑤隨著ELEPHANT價格的降低,攻擊合約觸發了ElephantMoney未經驗證的合約的贖回。
在步驟③中鑄造的TRUNK代幣被燒毀。
大約6千萬單位的BUSD和64兆單位的ELEPHANT從Treasury合約中被提取出來,發送到攻擊者合約中。由于攻擊者對價格進行了操縱,提取的ELEPHANT的數量遠遠大于步驟③中存入的ELEPHANT的數量。
⑥攻擊者重復了這個過程,從Treasury合約中盜走了更多的ELEPHANT。⑦隨后攻擊者將盜竊代幣交易賣出,償還了閃電貸,并從攻擊者合約中提取了利潤。
未經驗證的合約(0xd520a3b)使用Uniswappair池作為價格預言機,因此預言機可被操縱。
目前總受竊資產約為7198萬元人民幣。詳情請復制鏈接至瀏覽器查看:https://twitter.com/PeckShieldAlert/status/1514145304253120515
該次事件可通過安全審計發現相關風險。
使用pair池作為價格預言機導致價格操縱攻擊是一個常見問題,因此安全審計可避免類似的風險。
在此,CertiK的安全專家建議:
盡量避免使用流動性低的池子作為價格預言機價格來源,同時對項目進行安全審計從而保證預言機模型的正確性
Tags:HANLEPELEPHASugar ExchangeLepriconElephant MoneyPhantasma Energy
尊敬的XT.COM用戶:VGO合約地址更換已完成,用戶在平臺的VGO資產已按照1:1的比例兌換為新合約的代幣.
1900/1/1 0:00:00DearValuedUsers,HuobiGlobalisscheduledtolistSTG(StargateFinance)onApril15.
1900/1/1 0:00:00今年二月,隱私基礎設施項目Nym于合規代幣銷售平臺Coinlist啟動了其原生代幣NYM的公募,在五天時間內,喜迎119萬人注冊申請,打破了Coinlist平臺的歷史記錄.
1900/1/1 0:00:00Period:?13:00(UTC)onApr13-13:00(UTC)onApr20,2022HowtoParticipate: ?JoinNow? ●Clickthe?buttonatthe.
1900/1/1 0:00:00尊敬的XT.COM用戶:因BLKC,DINGO,LTNM錢包升級維護,XT.COM現已暫停BLKC,DINGO,LTNM充提業務.
1900/1/1 0:00:00如今,Web3成為熱門話題,逐漸出圈,引起廣泛關注。4月15日下午,Odaily星球日報邀請到四位嘉賓,共同探討在加密浪潮大變革時代,Web3.0公鏈和生態如何乘勢而起?四位嘉賓分別是:Mann.
1900/1/1 0:00:00