北京时间2022年4月13日凌晨0点49分,CertiK审计团队监测到ElephantMoney被攻击,导致27,416.46枚BNB遭受损失。
下文CertiK安全团队将从该项目攻击操作及合约等方面为大家详细解读并分析。请大家注意识别风险,谨慎投资!
攻击步骤
攻击者利用了TRUNK代币的赎回机制,通过操纵价格预言机以赎出更多的代币,并从一个Treasury合约中窃取了ELEPHANT。该Treasury合约是一个未经验证的合约。
LSDx Finance发布的代币销毁提案已开放投票:4月17日消息,全 LSD 超流动性协议 LSDx Finance 发布的代币销毁提案已开放投票。该提案提议进行代币销毁以在保护当前代币持有者的利益和确保未来增长的可持续排放率之间取得平衡,包含了销毁 5 亿枚代币、销毁 3 亿枚代币、销毁 2 亿枚代币和不销毁代币四个选项。veLSD 持有者可进行投票。[2023/4/17 14:09:12]
①攻击者部署了一个攻击者合约,并使用闪电贷从多个pair池中借取了WBNB和BUSD。
美国所有商业银行存款规模再度减少1257亿美元:金色财经报道,根据美联储本周五(3月31日)发布的最新H.8报告,截至3月22日的一周内,美国所有商业银行的存款规模再度减少了1257亿美元,为连续第九周下滑。不过,这一数字比硅谷银行和签名银行倒闭后第一周创纪录的1745亿美元存款流出幅度,已减少了约500亿美元。
此外,小银行的存款情况开始稳定甚至出现存款增加,而前一周还获得明显存款流入的前25大银行,在最新的报告中却成为了存款外流的“大头”。数据显示,在截至3月22日的一周内,美国小型银行的存款从上周的5.381万亿美元小幅升至了5.386万亿美元。与此同时,按资产计算的最大25家银行的存款则从10.74万亿美元降至了10.65万亿美元,总计减少了近900亿美元。[2023/4/3 13:41:41]
②大部分被借来的WBNB被换成了ELEPHANT,以提高ELEPHANT的价格。
日本JVCEA官员:取消筛选规则针对部分而非全部加密代币:金色财经报道,针对此前彭博社报道日本虚拟货币交易协会 (JVCEA) 正试图在 2024 年之前取消所有加密货币筛选一事。JVCEA机构副主席Genki Oda称,这并不完全准确。该规则并不意味着将完全取消预筛选过程,JVCEA 将继续执行某些检查,所有加密代币在获准在本地交易平台上市之前都经过 JVCEA 的审查。目前,除非一个代币已经在至少三个交易所上市,否则它必须经过漫长的预筛选过程才能被允许在其他交易所上市。
Oda称,目前需要审查的资产不到10项,并补充说该协会有 5到8名专门负责审查资产的工作人员。此外,JVCEA 和 FSA 已经解决了管理问题并拥有直接沟通途径。JVCEA 下一步将转向澄清加密资产的会计标准。JVCEA 正准备与金融监管机构和会计师事务所讨论如何进行审计。[2022/10/22 16:35:18]
③随着ELEPPHANT价格的提高,攻击者的合约触发了ElephantMoney中一个未经验证合约的铸币方法。
借贷的BUSD被放置到该合约上,以铸造TRUNK。
部分的BUSD被换成了ELEPHANT。由于ELEPHANT的价格在上一步中被提高了,所以换来的ELEPHANT的数量比预期的要少。
所有的代币被发送到Treasury合约。
④攻击者合约将ELEPHANT掉包成了WBNB,以降低ELEPHANT的价格。
⑤随着ELEPHANT价格的降低,攻击合约触发了ElephantMoney未经验证的合约的赎回。
在步骤③中铸造的TRUNK代币被烧毁。
大约6千万单位的BUSD和64兆单位的ELEPHANT从Treasury合约中被提取出来,发送到攻击者合约中。由于攻击者对价格进行了操纵,提取的ELEPHANT的数量远远大于步骤③中存入的ELEPHANT的数量。
⑥攻击者重复了这个过程,从Treasury合约中盗走了更多的ELEPHANT。⑦随后攻击者将盗窃代币交易卖出,偿还了闪电贷,并从攻击者合约中提取了利润。
合约漏洞分析
未经验证的合约(0xd520a3b)使用Uniswappair池作为价格预言机,因此预言机可被操纵。
目前总受窃资产约为7198万元人民币。详情请复制链接至浏览器查看:https://twitter.com/PeckShieldAlert/status/1514145304253120515
该次事件可通过安全审计发现相关风险。
使用pair池作为价格预言机导致价格操纵攻击是一个常见问题,因此安全审计可避免类似的风险。
在此,CertiK的安全专家建议:
尽量避免使用流动性低的池子作为价格预言机价格来源,同时对项目进行安全审计从而保证预言机模型的正确性
在圈里待久了的人都知道,像区块链行业发展日新月异那样,全球主流数字货币排行榜可谓「常看常新」。去年的前十名和今年的前十名可能多半都不一样,个别热潮兴起的时候,甚至月与月之间的排名,都能“换血”多.
1900/1/1 0:00:00该活动是通过Copper的LBP进行的,确保通证以更公平的方式分配,这符合使DeFi更加公平Minterest精神.
1900/1/1 0:00:00最近YearnFinance和Keep3rNetwork创始人Andrecronje在社交媒体上拼命宣传自己的一个神秘新项目——ve(3,3).
1900/1/1 0:00:00具体项目调研下面将按不同分类以及元宇宙开放程度,对上述项目做具体的分析。分类方式介绍:将对项目分为“可编辑空间或可进入空间游玩”,“与DeFi结合”,“尚未确定”三个大类别;同时将根据“具有本身.
1900/1/1 0:00:00最新数据显示,JustLend存款规模突破33亿美金,24小时累计存款量突破1.49亿美金。其中,存款规模TOP3分别是BTC、USDC、USDD.
1900/1/1 0:00:00Qredo将其自己的第2层区块链与去中心化多方计算(MPC)相结合,为数字资产投资者提供全新的基础设施.
1900/1/1 0:00:00