HAN:随意操纵数十「兆」代币，Elephant Money攻击事件分析-ODAILY

作者：

时间：1900/1/1 0:00:00

北京时间2022年4月13日凌晨0点49分，CertiK审计团队监测到ElephantMoney被攻击，导致27,416.46枚BNB遭受损失。

下文CertiK安全团队将从该项目攻击操作及合约等方面为大家详细解读并分析。请大家注意识别风险，谨慎投资！

攻击步骤

攻击者利用了TRUNK代币的赎回机制，通过操纵价格预言机以赎出更多的代币，并从一个Treasury合约中窃取了ELEPHANT。该Treasury合约是一个未经验证的合约。

LSDx Finance发布的代币销毁提案已开放投票:4月17日消息，全 LSD 超流动性协议 LSDx Finance 发布的代币销毁提案已开放投票。该提案提议进行代币销毁以在保护当前代币持有者的利益和确保未来增长的可持续排放率之间取得平衡，包含了销毁 5 亿枚代币、销毁 3 亿枚代币、销毁 2 亿枚代币和不销毁代币四个选项。veLSD 持有者可进行投票。[2023/4/17 14:09:12]

①攻击者部署了一个攻击者合约，并使用闪电贷从多个pair池中借取了WBNB和BUSD。

美国所有商业银行存款规模再度减少1257亿美元:金色财经报道，根据美联储本周五(3月31日)发布的最新H.8报告，截至3月22日的一周内，美国所有商业银行的存款规模再度减少了1257亿美元，为连续第九周下滑。不过，这一数字比硅谷银行和签名银行倒闭后第一周创纪录的1745亿美元存款流出幅度，已减少了约500亿美元。

此外，小银行的存款情况开始稳定甚至出现存款增加，而前一周还获得明显存款流入的前25大银行，在最新的报告中却成为了存款外流的“大头”。数据显示，在截至3月22日的一周内，美国小型银行的存款从上周的5.381万亿美元小幅升至了5.386万亿美元。与此同时，按资产计算的最大25家银行的存款则从10.74万亿美元降至了10.65万亿美元，总计减少了近900亿美元。[2023/4/3 13:41:41]

②大部分被借来的WBNB被换成了ELEPHANT，以提高ELEPHANT的价格。

日本JVCEA官员：取消筛选规则针对部分而非全部加密代币:金色财经报道，针对此前彭博社报道日本虚拟货币交易协会 (JVCEA) 正试图在 2024 年之前取消所有加密货币筛选一事。JVCEA机构副主席Genki Oda称，这并不完全准确。该规则并不意味着将完全取消预筛选过程，JVCEA 将继续执行某些检查，所有加密代币在获准在本地交易平台上市之前都经过 JVCEA 的审查。目前，除非一个代币已经在至少三个交易所上市，否则它必须经过漫长的预筛选过程才能被允许在其他交易所上市。

Oda称，目前需要审查的资产不到10项，并补充说该协会有 5到8名专门负责审查资产的工作人员。此外，JVCEA 和 FSA 已经解决了管理问题并拥有直接沟通途径。JVCEA 下一步将转向澄清加密资产的会计标准。JVCEA 正准备与金融监管机构和会计师事务所讨论如何进行审计。[2022/10/22 16:35:18]

③随着ELEPPHANT价格的提高，攻击者的合约触发了ElephantMoney中一个未经验证合约的铸币方法。

借贷的BUSD被放置到该合约上，以铸造TRUNK。

部分的BUSD被换成了ELEPHANT。由于ELEPHANT的价格在上一步中被提高了，所以换来的ELEPHANT的数量比预期的要少。

所有的代币被发送到Treasury合约。

④攻击者合约将ELEPHANT掉包成了WBNB，以降低ELEPHANT的价格。