月亮链 月亮链
Ctrl+D收藏月亮链

LEP:随意操纵数十「兆」代币,Elephant Money攻击事件分析-ODAILY_ELE

作者:

时间:1900/1/1 0:00:00

北京时间2022年4月13日凌晨0点49分,CertiK审计团队监测到ElephantMoney被攻击,导致27,416.46枚BNB遭受损失。

下文CertiK安全团队将从该项目攻击操作及合约等方面为大家详细解读并分析。请大家注意识别风险,谨慎投资!

攻击步骤

攻击者利用了TRUNK代币的赎回机制,通过操纵价格预言机以赎出更多的代币,并从一个Treasury合约中窃取了ELEPHANT。该Treasury合约是一个未经验证的合约。

Ziliqa:网络恢复已完成,区块生产时间恢复正常:6月5日消息,Layer 1 区块链 Ziliqa 发推称,网络恢复过程已经完成,区块生产时间恢复正常。整个网络的功能现已恢复,智能合约再次正常运行,现在也可以恢复网络上的存提款功能。团队将继续密切监测网络性能,避免未来出现问题,并在未来几天提供根本原因。

此前报道,6 月 4 日,Zilliqa 发推表示,已注意到目前影响网络的问题,导致出块缓慢,这对网络上智能合约的执行产生了影响,核心团队正在努力解决此问题,并将很快启动自动恢复过程,希望可以恢复完全功能,在恢复后将提供更新并根据需要概述任何后续步骤。[2023/6/5 21:16:06]

①攻击者部署了一个攻击者合约,并使用闪电贷从多个pair池中借取了WBNB和BUSD。

灰度:已就对SEC拒绝比特币现货ETF的诉讼提交最终简报:2月8日消息,灰度在推特上表示:“上周,灰度在我们的诉讼中提交了我们的最终简报,质疑美国证券交易委员会拒绝将GBTC美元转换为现货比特币ETF的决定。这些与之前提交的其他摘要基本相同,但有额外的引用和参考。准备供 DC 巡回法院法官小组阅读的摘要是必要的要求。我们期待在2023年 3月7日在专家组面前陈述我们的案件。”

此前去年6月份消息,美国SEC拒绝灰度现货比特币ETF申请,同日灰度法律顾问向华盛顿特区巡回上诉法院提交了复审请愿以作为提前诉讼的第一步,提交复核申请后,诉讼过程将涉及简报,法官选择、口头辩论和最终判决。1月24日消息,美国法院加快灰度诉美SEC案的的口头辩论,双方将于3月7日向法院陈述案情。[2023/2/8 11:54:00]

②大部分被借来的WBNB被换成了ELEPHANT,以提高ELEPHANT的价格。

加密金融公司Matrixport推出NFT机构托管服务:6月27日消息,吴忌寒旗下加密金融公司Matrixport宣布通过第三方机构托管服务Cactus Custody推出NFT机构托管业务,帮助机构安全存储和管理其NFT和加密资产。

据Matrixport首席运营官Cynthia Wu称,Cactus Custody正在加强基础设施和工具,NFT资产管理产品将嵌入风险管理功能,机构能够自定义用户访问控制和dApp智能合约白名单,只有获得批准的NFT市场、DeFi、GameFi、SocialFi和Web3协议才能与平台上的钱包进行交互,保护数字资产免受恶意行为者的侵害。(美通社)[2022/6/27 1:33:33]

③随着ELEPPHANT价格的提高,攻击者的合约触发了ElephantMoney中一个未经验证合约的铸币方法。

借贷的BUSD被放置到该合约上,以铸造TRUNK。

部分的BUSD被换成了ELEPHANT。由于ELEPHANT的价格在上一步中被提高了,所以换来的ELEPHANT的数量比预期的要少。

所有的代币被发送到Treasury合约。

④攻击者合约将ELEPHANT掉包成了WBNB,以降低ELEPHANT的价格。

⑤随着ELEPHANT价格的降低,攻击合约触发了ElephantMoney未经验证的合约的赎回。

在步骤③中铸造的TRUNK代币被烧毁。

大约6千万单位的BUSD和64兆单位的ELEPHANT从Treasury合约中被提取出来,发送到攻击者合约中。由于攻击者对价格进行了操纵,提取的ELEPHANT的数量远远大于步骤③中存入的ELEPHANT的数量。

⑥攻击者重复了这个过程,从Treasury合约中盗走了更多的ELEPHANT。⑦随后攻击者将盗窃代币交易卖出,偿还了闪电贷,并从攻击者合约中提取了利润。

合约漏洞分析

未经验证的合约(0xd520a3b)使用Uniswappair池作为价格预言机,因此预言机可被操纵。

目前总受窃资产约为7198万元人民币。详情请复制链接至浏览器查看:https://twitter.com/PeckShieldAlert/status/1514145304253120515

该次事件可通过安全审计发现相关风险。

使用pair池作为价格预言机导致价格操纵攻击是一个常见问题,因此安全审计可避免类似的风险。

在此,CertiK的安全专家建议:

尽量避免使用流动性低的池子作为价格预言机价格来源,同时对项目进行安全审计从而保证预言机模型的正确性

标签:LEPPHAHANELEaleph币价格UltrAlphaHAN币ELEA币

欧易交易所app下载热门资讯
NFT:「TRON势力」之“区块链六边形战士”-ODAILY_tronlink怎么用

作为全球最受欢迎的公链之一,波场TRON自创立以来始终保持高速发展,生态建设全面开花,各项数据突飞猛进.

1900/1/1 0:00:00
SUP:SupraOracles与元宇宙游戏Hydraverse达成合作-ODAILY_VERSE

SupraOracles很高兴地宣布与Hydraverse合作,Hydraverse是一款元宇宙PVP赛龙游戏,具有“即玩即赚”系统.

1900/1/1 0:00:00
BIT:Bitfinex一周简报(0509-0515)-ODAILY_Qcore Finance

Bitfinex宣布将支持NeoLegacy迁移至NeoN35月10日消息,据官方公告,Bitfinex宣布将支持NeoLegacy迁移至NeoN3。迁移将于UTC时间5月12日9:00开始.

1900/1/1 0:00:00
SUP:SupraOracles与跨链生态应用Bot Planet达成合作-ODAILY_Peerex Network

SupraOracles宣布与BotPlanet建立合作伙伴关系,BotPlanet是一个将DeFi和NFT结合成可互操作的跨链体验的多链游戏化生态系统.

1900/1/1 0:00:00
加密货币:加密世界防诈指南-ODAILY_EDO

加密货币经常被描绘成一个金融狂野的西部,一个正在创造大量机会的行业,以及一系列新陷阱。像所有创新事物一样,当您使用加密货币时,您也会面临风险。我们不仅仅指价格波动.

1900/1/1 0:00:00
CRYP:Crypto Finance宣布对机构客户提供TRX存储、托管、交易服务-ODAILY_Crusaders of Crypto

据最新消息,CryptoFinance宣布对机构客户提供TRX存储、托管、交易服务。即日起,CryptoFinance用户可安全地交易和存储波场生态代币TRX.

1900/1/1 0:00:00