北京时间2022年4月13日凌晨0点49分,CertiK审计团队监测到ElephantMoney被攻击,导致27,416.46枚BNB遭受损失。
下文CertiK安全团队将从该项目攻击操作及合约等方面为大家详细解读并分析。请大家注意识别风险,谨慎投资!
攻击步骤
攻击者利用了TRUNK代币的赎回机制,通过操纵价格预言机以赎出更多的代币,并从一个Treasury合约中窃取了ELEPHANT。该Treasury合约是一个未经验证的合约。
摩根大通:超七成华尔街交易员今年不打算碰加密货币:金色财经报道,摩根大通的一项调查显示,尽管加密货币近期走强,但72%的交易员表示,他们在2023年没有任何交易加密货币或者数字资产的计划。而在2022年,仅25%的交易员表达了这样的想法。这项调查是在今年1月份进行,此前加密货币经历了惨淡的2022年,比特币在去年暴跌了近七成。
调查显示,仅8%的交易员表示,他们目前在交易加密货币,14%的交易员表示计划在五年内进行交易。同时,6%的受访者表示,他们目前没有打算交易加密货币,但计划在12个月内进行买卖。进入2023年,尽管比特币狂飙39%,但这似乎无法吸引到华尔街投资者们更多的押注,尤其是考虑美联储加息进程尚未结束。[2023/2/2 11:43:26]
①攻击者部署了一个攻击者合约,并使用闪电贷从多个pair池中借取了WBNB和BUSD。
Bitrise Capital宣布推出1000万美元的生态投资基金用于支持ETHPOW,ETC和iPolloverse等POW公链建设:8月12日消息,Bitrise Capital宣布推出生态投资基金,共计1000万美元。官方推特显示,基金将用于支持ETHPOW,ETC和ipolloverse等POW公链生态发展。POW是ETH的过去和现在,Bitrise Capital会积极支持POW公链生态开发。若Ethereum硬分叉成功,Bitrise Capital将积极支持ETHPOW主网生态应用的开发和探索,丰富和推进ETHPOW网络整体的发展,给生态开发者提供更多支持。
此外,随着ETH转POS,部分算力也会流入到ETC,使得网络更安全,生态发展变得可能。[2022/8/12 12:21:20]
②大部分被借来的WBNB被换成了ELEPHANT,以提高ELEPHANT的价格。
Hodlnaut可能因Terra崩盘造成巨大的未披露损失:金色财经报道,Dirty Bubble Media发文称,加密借贷平台Hodlnaut在Terra协议崩盘后似乎承受了巨大损失。根据Nansen验证的区块链数据,该公司于2022年5月11日向FTX发送了1.71亿美元的UST,因为稳定币的脱钩正在通过以太坊链加速。根据消息来源进行整理发现,Hodlnaut通过Terra链向FTX发送了额外的1.38亿UST。通过交易匹配识别出这个Terra钱包是Hodlnaut 的。在此退出期间,UST的价格从0.69美元跌至0.19美元。由于交易的规模,Hodlnaut离开Terra加速了脱钩似乎是合理的。Hodlnaut持有的大部分UST似乎是通过Tether和USDC的互换购买的。
我们还发现,这个钱包是UST对Curve上UST与3crv池的最大流动性提供者之一。如此看来,Hodlnaut也是Anchor上最大的存款人之一,他们于2022年1月21日开始在那里部署,在其高峰期存款高达2-3亿美元,收益为1110万美元。而因Terra协议崩盘,我们估计Hodlnaut在这次事件中可能遭受了数千万美元的损失。然而,该公司似乎没有披露这一损失。[2022/6/27 1:33:16]
③随着ELEPPHANT价格的提高,攻击者的合约触发了ElephantMoney中一个未经验证合约的铸币方法。
借贷的BUSD被放置到该合约上,以铸造TRUNK。
部分的BUSD被换成了ELEPHANT。由于ELEPHANT的价格在上一步中被提高了,所以换来的ELEPHANT的数量比预期的要少。
所有的代币被发送到Treasury合约。
④攻击者合约将ELEPHANT掉包成了WBNB,以降低ELEPHANT的价格。
⑤随着ELEPHANT价格的降低,攻击合约触发了ElephantMoney未经验证的合约的赎回。
在步骤③中铸造的TRUNK代币被烧毁。
大约6千万单位的BUSD和64兆单位的ELEPHANT从Treasury合约中被提取出来,发送到攻击者合约中。由于攻击者对价格进行了操纵,提取的ELEPHANT的数量远远大于步骤③中存入的ELEPHANT的数量。
⑥攻击者重复了这个过程,从Treasury合约中盗走了更多的ELEPHANT。⑦随后攻击者将盗窃代币交易卖出,偿还了闪电贷,并从攻击者合约中提取了利润。
未经验证的合约(0xd520a3b)使用Uniswappair池作为价格预言机,因此预言机可被操纵。
目前总受窃资产约为7198万元人民币。详情请复制链接至浏览器查看:https://twitter.com/PeckShieldAlert/status/1514145304253120515
该次事件可通过安全审计发现相关风险。
使用pair池作为价格预言机导致价格操纵攻击是一个常见问题,因此安全审计可避免类似的风险。
在此,CertiK的安全专家建议:
尽量避免使用流动性低的池子作为价格预言机价格来源,同时对项目进行安全审计从而保证预言机模型的正确性
2022年8V特别准备欢迎豪礼,以简单但是丰厚的500USDT理财体验券欢迎每位新用户的支持以及爱戴!还有什么比注册即送礼更具吸引力呢?立即注册领取!活动详情如下:一、活动时间即日起至官方公告通.
1900/1/1 0:00:00亲爱的用户:为回馈广大用户,BKEX现开展"GDDY充值福利"活动详情如下:一、活动时间2022年4月16日18:00-4月21日18:00二、活动规则1.充值瓜分活动期间.
1900/1/1 0:00:00Gate.iowilllaunchaDailySharkFinunderUSDTwithanannualizedyieldof3%~16%.
1900/1/1 0:00:00Gate.iowilllaunchaDailySharkFinunderUSDTwithanannualizedyieldof3%~16%.
1900/1/1 0:00:00金色财经消息,近日,在北京德恒律师事务所刘扬律师团队代理的一则委托管理比特币纠纷案件中,北京仲裁委员会裁定:“本案合同并非违法合同,也没有违背公序良俗,不存在无效的情形,而是合法有效的合同.
1900/1/1 0:00:00尊敬的Hopoo用户:Hopoo官方在此声明,Hopoo是一家来自美国并布局全球业务的衍生品交易平台,平台运营一切正常,用户持续稳定增长,平台将持续为广大用户提供更安全,更便捷的衍生品交易服务.
1900/1/1 0:00:00