北京時間2022年4月13日凌晨0點49分,CertiK審計團隊監測到ElephantMoney被攻擊,導致27,416.46枚BNB遭受損失。
下文CertiK安全團隊將從該項目攻擊操作及合約等方面為大家詳細解讀并分析。請大家注意識別風險,謹慎投資!
攻擊步驟
攻擊者利用了TRUNK代幣的贖回機制,通過操縱價格預言機以贖出更多的代幣,并從一個Treasury合約中竊取了ELEPHANT。該Treasury合約是一個未經驗證的合約。
數據:CoinMarketCap新Token申請量已連續四個季度下跌:2月16日消息,據CoinMarketCap數據顯示,新Token的申請量已從2022年第一季度的10264份下降至第四季度的6350份。而今年迄今為止,新Token申請只有3000份左右。[2023/2/16 12:11:42]
①攻擊者部署了一個攻擊者合約,并使用閃電貸從多個pair池中借取了WBNB和BUSD。
②大部分被借來的WBNB被換成了ELEPHANT,以提高ELEPHANT的價格。
數據:AI板塊普遍回調,AGIX領幅23.7%:2月9日消息,Coingecko行情顯示,AI板塊普跌,其中FET暫報0.45美元,24小時跌幅18%;AGIX暫報0.443美元,24小時跌幅23.7%;CTXC暫報0.291美元,24小時跌幅15.7%;MDT暫報0.0519美元,24小時跌幅18.6%。[2023/2/9 11:55:58]
③隨著ELEPPHANT價格的提高,攻擊者的合約觸發了ElephantMoney中一個未經驗證合約的鑄幣方法。
借貸的BUSD被放置到該合約上,以鑄造TRUNK。
數據:Binance向Shib Dex地址轉入4萬億SHIB:1月10日消息,Etherscan 數據顯示,今天下午3點,被標記為“Binance 8”的幣安關聯錢包地址向Shiba Inu去中心化交易所ShibaSwap關聯的錢包地址轉入4萬億個SHIB,價值3508萬美元。根據ShibBurn的說法,這些代幣由Binance抵押在Shib Dex上。
The Crypto Basic此前報道,Binance是全球最大的SHIB持有者,與之關聯的兩個錢包總共持有83萬億SHIB,價值7.38億美元。[2023/1/10 11:04:58]
部分的BUSD被換成了ELEPHANT。由于ELEPHANT的價格在上一步中被提高了,所以換來的ELEPHANT的數量比預期的要少。
所有的代幣被發送到Treasury合約。
④攻擊者合約將ELEPHANT掉包成了WBNB,以降低ELEPHANT的價格。
⑤隨著ELEPHANT價格的降低,攻擊合約觸發了ElephantMoney未經驗證的合約的贖回。
在步驟③中鑄造的TRUNK代幣被燒毀。
大約6千萬單位的BUSD和64兆單位的ELEPHANT從Treasury合約中被提取出來,發送到攻擊者合約中。由于攻擊者對價格進行了操縱,提取的ELEPHANT的數量遠遠大于步驟③中存入的ELEPHANT的數量。
⑥攻擊者重復了這個過程,從Treasury合約中盜走了更多的ELEPHANT。⑦隨后攻擊者將盜竊代幣交易賣出,償還了閃電貸,并從攻擊者合約中提取了利潤。
合約漏洞分析
未經驗證的合約(0xd520a3b)使用Uniswappair池作為價格預言機,因此預言機可被操縱。
目前總受竊資產約為7198萬元人民幣。詳情請復制鏈接至瀏覽器查看:https://twitter.com/PeckShieldAlert/status/1514145304253120515
該次事件可通過安全審計發現相關風險。
使用pair池作為價格預言機導致價格操縱攻擊是一個常見問題,因此安全審計可避免類似的風險。
在此,CertiK的安全專家建議:
盡量避免使用流動性低的池子作為價格預言機價格來源,同時對項目進行安全審計從而保證預言機模型的正確性
Tags:PHAHANANTLEPPhantasiaVidiachangeGIANTLeprechaun Finance
內容整理:付茗瑤 后期編輯:張悅然、JaniceDeGame.com是新加坡區塊鏈公司L2Y旗下的去中心化區塊鏈游戲聚合平臺,為玩家與投資者提供一站式體游戲體驗.
1900/1/1 0:00:00區塊鏈技術的核心價值主張正在從cryptocurrency轉向智能合約,這與當年互聯網從電子郵件發展至萬維網的路徑如出一轍。智能合約效率更高且對手方風險更小,因此勢必將成為主流的數字協議.
1900/1/1 0:00:00BNBChain開發者社區致力于為智能合約開發者提供頂尖的開發基礎架構,幫助他們打造出成熟且安全的去中心化應用.
1900/1/1 0:00:00一、上周行業動態 上周對于絕大多數風險投資者來講是一個被反復打臉的過程,北京時間周四凌晨,美聯儲FOMC聲明將加息50個基點,并在6月份開始以每月475億美元的步伐縮表.
1900/1/1 0:00:00TetherCTO:Tether沒有上市計劃5月5日消息,Tether的CTOPaoloArdoino在采訪時表示,計劃做的是繼續做我們正在做的事情,也就是說,真正成為人民的工具.
1900/1/1 0:00:003月14日,頂峰AscendEX重磅上線Convex-MIMDeFi挖礦,并覆蓋PC端和App端.
1900/1/1 0:00:00