ANT:随意操纵数十「兆」代币,Elephant Money攻击事件分析

北京时间2022年4月13日凌晨0点49分,CertiK审计团队监测到ElephantMoney被攻击,导致27,416.46枚BNB遭受损失。

下文CertiK安全团队将从该项目攻击操作及合约等方面为大家详细解读并分析。请大家注意识别风险,谨慎投资!

攻击步骤

攻击者利用了TRUNK代币的赎回机制,通过操纵价格预言机以赎出更多的代币,并从一个Treasury合约中窃取了ELEPHANT。该Treasury合约是一个未经验证的合约。

韩国环境部、Samsung Next等多家机构被列入FTX潜在债权人名单:金色财经报道,韩国多个主要公共机构和公司近期已被列入 FTX 潜在债权人名单,包括韩国环境部、韩国最大的律师事务所 Kim & Chang 以及三星电子旗下投资公司 Samsung Next。其他韩国公司包括共享办公室服务提供商 The Executive Centre 和 Vantago。

韩国环境部对此回应,其财务资金与 FTX 没有直接交易,将与美国特拉华州破产法院进行磋商,以确认债权人名单的细节。此外,考虑到小组委员会可以以环境部的名义进行交易,环境部计划进一步调查交易细节并检查基金的运作情况。

FTX 律师此前提交给法院的债权人名单中,并没有列为债权人的背景或规模等信息,只有债权人的姓名和地址。名单上唯一的韩国政府部门是环境部。除韩国环境部外,日本环境财务法务部、印度财务省、越南财务科学技术部也被列为债权人[2023/1/29 11:34:59]

①攻击者部署了一个攻击者合约,并使用闪电贷从多个pair池中借取了WBNB和BUSD。

XTZ突破5.7美元关口 日内涨幅为2.73%:火币全球站数据显示,XTZ短线上涨,突破5.7美元关口,现报5.7006美元,日内涨幅达到2.73%,行情波动较大,请做好风险控制。[2021/5/1 21:15:51]

②大部分被借来的WBNB被换成了ELEPHANT,以提高ELEPHANT的价格。

③随着ELEPPHANT价格的提高,攻击者的合约触发了ElephantMoney中一个未经验证合约的铸币方法。

BiKi杠杆ETF专区普涨 XTZ3L领涨23.49%:据BiKi杠杆ETF专区行情显示,截至今日18:05(GMT+8), XTZ3L领涨ETF专区,当前净值0.0970美元,日内涨幅23.49%。TRX3L紧随其后,当前净值2.9694美元,日内涨幅15.91.%。XRP3L当前净值0.0482,日内涨幅14.01%。LINK3L当前净值4.4826,日内涨幅12.88%。

杠杆ETF是一种锚定标的资产价格变化的指数基金。BiKi平台目前已经上线BTC、ETH、EOS、BCH、BSV、LTC、TRX、XRP、ETC、DASH等多个主流币种以及HT、BNB、OKB等平台币。[2020/4/28]

借贷的BUSD被放置到该合约上,以铸造TRUNK。

部分的BUSD被换成了ELEPHANT。由于ELEPHANT的价格在上一步中被提高了,所以换来的ELEPHANT的数量比预期的要少。

所有的代币被发送到Treasury合约。

④攻击者合约将ELEPHANT掉包成了WBNB,以降低ELEPHANT的价格。

⑤随着ELEPHANT价格的降低,攻击合约触发了ElephantMoney未经验证的合约的赎回。

在步骤③中铸造的TRUNK代币被烧毁。

大约6千万单位的BUSD和64兆单位的ELEPHANT从Treasury合约中被提取出来,发送到攻击者合约中。由于攻击者对价格进行了操纵,提取的ELEPHANT的数量远远大于步骤③中存入的ELEPHANT的数量。

⑥攻击者重复了这个过程,从Treasury合约中盗走了更多的ELEPHANT。⑦随后攻击者将盗窃代币交易卖出,偿还了闪电贷,并从攻击者合约中提取了利润。

未经验证的合约(0xd520a3b)使用Uniswappair池作为价格预言机,因此预言机可被操纵。

目前总受窃资产约为7198万元人民币。详情请复制链接至浏览器查看:https://twitter.com/PeckShieldAlert/status/1514145304253120515

该次事件可通过安全审计发现相关风险。

使用pair池作为价格预言机导致价格操纵攻击是一个常见问题,因此安全审计可避免类似的风险。

在此,CertiK的安全专家建议:

尽量避免使用流动性低的池子作为价格预言机价格来源,同时对项目进行安全审计从而保证预言机模型的正确性

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:15ms0-4:132ms