以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

隨意操縱數十「兆」代幣,Elephant Money攻擊事件分析-ODAILY_ELE:ANT價格

Author:

Time:1900/1/1 0:00:00

北京時間2022年4月13日凌晨0點49分,CertiK審計團隊監測到ElephantMoney被攻擊,導致27,416.46枚BNB遭受損失。

下文CertiK安全團隊將從該項目攻擊操作及合約等方面為大家詳細解讀并分析。請大家注意識別風險,謹慎投資!

攻擊步驟

攻擊者利用了TRUNK代幣的贖回機制,通過操縱價格預言機以贖出更多的代幣,并從一個Treasury合約中竊取了ELEPHANT。該Treasury合約是一個未經驗證的合約。

某巨鯨再次花費509萬USDT購買174枚WBTC:金色財經報道,據Lookonchain數據,大約2小時前,某鯨魚花費509萬USDT購買了174枚WBTC,平均價格為29350美元。

昨日報道,該巨鯨花費517萬USDC以1844美元的價格購買了2802枚stETH。[2023/7/26 16:00:25]

①攻擊者部署了一個攻擊者合約,并使用閃電貸從多個pair池中借取了WBNB和BUSD。

②大部分被借來的WBNB被換成了ELEPHANT,以提高ELEPHANT的價格。

消息人士:BlockTower Capital合伙人與亞太區主管已離職:金色財經報道,據兩位知情人士透露,普通合伙人Michael Bucella最近離開了BlockTower Capital。與此同時,該公司投資總監兼亞太區主管Steve Lee的LinkedIn資料顯示,他已于9月份離職。

Bucella和Lee分別于2017年和2018年從投資銀行高盛(Goldman Sachs)加入BlockTower。[2023/2/22 12:21:08]

③隨著ELEPPHANT價格的提高,攻擊者的合約觸發了ElephantMoney中一個未經驗證合約的鑄幣方法。

馬斯克:對Twitter的收購計劃,仍在等待機器人賬戶問題的解決:6月21日消息,特斯拉 CEO 埃隆·馬斯克在卡塔爾經濟論壇接受彭博社采訪時表示,他正在等待他提出的占 Twitter 5% 以上賬戶的機器人問題的解決方案,因為這不是大多數人對這項服務期待的體驗。馬斯克表示,虛假和垃圾郵件帳戶與機器人帳戶是完全不同的。

馬斯克表示,他將專注于在 Twitter 上推動產品,但不一定計劃成為其首席執行官。[2022/6/21 4:42:57]

借貸的BUSD被放置到該合約上,以鑄造TRUNK。

部分的BUSD被換成了ELEPHANT。由于ELEPHANT的價格在上一步中被提高了,所以換來的ELEPHANT的數量比預期的要少。

所有的代幣被發送到Treasury合約。

④攻擊者合約將ELEPHANT掉包成了WBNB,以降低ELEPHANT的價格。

⑤隨著ELEPHANT價格的降低,攻擊合約觸發了ElephantMoney未經驗證的合約的贖回。

在步驟③中鑄造的TRUNK代幣被燒毀。

大約6千萬單位的BUSD和64兆單位的ELEPHANT從Treasury合約中被提取出來,發送到攻擊者合約中。由于攻擊者對價格進行了操縱,提取的ELEPHANT的數量遠遠大于步驟③中存入的ELEPHANT的數量。

⑥攻擊者重復了這個過程,從Treasury合約中盜走了更多的ELEPHANT。⑦隨后攻擊者將盜竊代幣交易賣出,償還了閃電貸,并從攻擊者合約中提取了利潤。

合約漏洞分析

未經驗證的合約(0xd520a3b)使用Uniswappair池作為價格預言機,因此預言機可被操縱。

目前總受竊資產約為7198萬元人民幣。詳情請復制鏈接至瀏覽器查看:https://twitter.com/PeckShieldAlert/status/1514145304253120515

該次事件可通過安全審計發現相關風險。

使用pair池作為價格預言機導致價格操縱攻擊是一個常見問題,因此安全審計可避免類似的風險。

在此,CertiK的安全專家建議:

盡量避免使用流動性低的池子作為價格預言機價格來源,同時對項目進行安全審計從而保證預言機模型的正確性

Tags:ANTHANELEPHAANT價格HANKEY價格Electroneumpha幣價格今日行情

狗狗幣價格
Poloniex Exchange成為波場聯合儲備第三個成員和白名單機構-ODAILY_POL:POLY

據官方消息,PoloniexExchange已成為波場聯合儲備的第三個成員和白名單機構,獲得鑄造USDD的權利.

1900/1/1 0:00:00
TRX連續二十三周通縮,通縮量達3.09億枚-ODAILY_TRX:BITGET是正規靠譜平臺嗎

據區塊鏈瀏覽器TRONSCAN數據,過去二十三周,TRX連續處于通縮狀態,通縮量達3.09億枚TRX.

1900/1/1 0:00:00
DAOrayaki:去中心化信用評級如何改變金融體系-ODAILY_DAO:DAO

借款和貸款是DeFi的兩個重要部分,但它們一直缺少一個有效的操作憑證:去中心化的信用評級。 貸款和借款的概念與時間本身一樣古老.

1900/1/1 0:00:00
盤點五大類DeFi數據分析工具 -ODAILY_EFI:DEFI

伴隨著DeFi的繁榮,加密數據分析的市場也方興未艾。已實現對一個DeFi項目的初步解析。筆者在使用諸多分析工具后,整理了比較好用的,且市面上推薦度比較高的五類DeFi數據分析工具:看DeFiTo.

1900/1/1 0:00:00
World Mobile引領ADA生態非洲戰略部署-ODAILY_WORLD:FryWorld Finance

各位小伙伴大家好,我是主持人,歡迎大家來參加本次AMA。本期AMA主題為WorldMobile引領ADA生態非洲戰略布局,今天我們很榮幸的邀請到了?WorldMobile的創始人及CEOMick.

1900/1/1 0:00:00
Cardano先行者主題會議即將開啟,World Mobile等優質項目齊聚一堂-ODAILY_DAN:SCARD

雖然在早期,Cardano生態因不支持智能合約,使其在DeFi等板塊上的發展,與其他公鏈的差距越來越大,但在2021年下半年,Cardano終于迎來了Alonzo升級.

1900/1/1 0:00:00
ads