LEP:随意操纵数十「兆」代币，Elephant Money攻击事件分析-ODAILY_ELE

作者：

时间：1900/1/1 0:00:00

北京时间2022年4月13日凌晨0点49分，CertiK审计团队监测到ElephantMoney被攻击，导致27,416.46枚BNB遭受损失。

下文CertiK安全团队将从该项目攻击操作及合约等方面为大家详细解读并分析。请大家注意识别风险，谨慎投资！

攻击步骤

攻击者利用了TRUNK代币的赎回机制，通过操纵价格预言机以赎出更多的代币，并从一个Treasury合约中窃取了ELEPHANT。该Treasury合约是一个未经验证的合约。

Ziliqa：网络恢复已完成，区块生产时间恢复正常:6月5日消息，Layer 1 区块链 Ziliqa 发推称，网络恢复过程已经完成，区块生产时间恢复正常。整个网络的功能现已恢复，智能合约再次正常运行，现在也可以恢复网络上的存提款功能。团队将继续密切监测网络性能，避免未来出现问题，并在未来几天提供根本原因。

此前报道，6 月 4 日，Zilliqa 发推表示，已注意到目前影响网络的问题，导致出块缓慢，这对网络上智能合约的执行产生了影响，核心团队正在努力解决此问题，并将很快启动自动恢复过程，希望可以恢复完全功能，在恢复后将提供更新并根据需要概述任何后续步骤。[2023/6/5 21:16:06]

①攻击者部署了一个攻击者合约，并使用闪电贷从多个pair池中借取了WBNB和BUSD。

灰度：已就对SEC拒绝比特币现货ETF的诉讼提交最终简报:2月8日消息，灰度在推特上表示：“上周，灰度在我们的诉讼中提交了我们的最终简报，质疑美国证券交易委员会拒绝将GBTC美元转换为现货比特币ETF的决定。这些与之前提交的其他摘要基本相同，但有额外的引用和参考。准备供 DC 巡回法院法官小组阅读的摘要是必要的要求。我们期待在2023年 3月7日在专家组面前陈述我们的案件。”

此前去年6月份消息，美国SEC拒绝灰度现货比特币ETF申请，同日灰度法律顾问向华盛顿特区巡回上诉法院提交了复审请愿以作为提前诉讼的第一步，提交复核申请后，诉讼过程将涉及简报，法官选择、口头辩论和最终判决。1月24日消息，美国法院加快灰度诉美SEC案的的口头辩论，双方将于3月7日向法院陈述案情。[2023/2/8 11:54:00]

②大部分被借来的WBNB被换成了ELEPHANT，以提高ELEPHANT的价格。

加密金融公司Matrixport推出NFT机构托管服务:6月27日消息，吴忌寒旗下加密金融公司Matrixport宣布通过第三方机构托管服务Cactus Custody推出NFT机构托管业务，帮助机构安全存储和管理其NFT和加密资产。

据Matrixport首席运营官Cynthia Wu称，Cactus Custody正在加强基础设施和工具，NFT资产管理产品将嵌入风险管理功能，机构能够自定义用户访问控制和dApp智能合约白名单，只有获得批准的NFT市场、DeFi、GameFi、SocialFi和Web3协议才能与平台上的钱包进行交互，保护数字资产免受恶意行为者的侵害。（美通社）[2022/6/27 1:33:33]

③随着ELEPPHANT价格的提高，攻击者的合约触发了ElephantMoney中一个未经验证合约的铸币方法。

借贷的BUSD被放置到该合约上，以铸造TRUNK。

部分的BUSD被换成了ELEPHANT。由于ELEPHANT的价格在上一步中被提高了，所以换来的ELEPHANT的数量比预期的要少。

所有的代币被发送到Treasury合约。

④攻击者合约将ELEPHANT掉包成了WBNB，以降低ELEPHANT的价格。