北京时间2022年4月13日凌晨0点49分,CertiK审计团队监测到ElephantMoney被攻击,导致27,416.46枚BNB遭受损失。
下文CertiK安全团队将从该项目攻击操作及合约等方面为大家详细解读并分析。请大家注意识别风险,谨慎投资!
GMX社区提议将协议部署至Coinbase的Base上:3月21日消息,去中心化衍生品交易所 GMX 治理论坛上的一篇帖子显示,GMX 社区的一些成员支持在 Coinbase 的Layer2 区块链 Base 上部署 GMX 协议。GMX 交易所目前在 Arbitrum 和 Avalanche 上锁定了 5.82 亿美元的总价值。[2023/3/21 13:17:29]
攻击步骤
攻击者利用了TRUNK代币的赎回机制,通过操纵价格预言机以赎出更多的代币,并从一个Treasury合约中窃取了ELEPHANT。该Treasury合约是一个未经验证的合约。
俄罗斯表示允许在拥有水电和核电的地区进行挖矿:9月29日消息,俄罗斯中央银行和财政部最近就旨在规范加密货币挖矿的立法达成一致,该立法应在今年年底前通过。参与立法的俄罗斯官员表示,应该允许在能源过剩的地区进行加密货币挖矿,但要禁止在能源短缺的地区开展挖矿行为。另外据ENCRY基金会联合创始人Roman Nekrasov表示,俄罗斯的水力发电厂和核电厂的地区已经聚集了很多加密货币矿场。这些地区包括水力发电厂伊尔库茨克州和克拉斯诺亚尔斯克边疆区,以及拥有核电站的特维尔、萨拉托夫、斯摩棱斯克和列宁格勒地区。他还预计俄罗斯会加强对达吉斯坦非法挖矿的打击。(Bitcoin.com)[2022/9/29 6:01:57]
①攻击者部署了一个攻击者合约,并使用闪电贷从多个pair池中借取了WBNB和BUSD。
数据:以太坊网络当前已销毁228.92万枚ETH:金色财经报道,据Ultrasound数据显示,截止目前,以太坊网络总共销毁2,289,225.38枚ETH。其中,OpenSea销毁230047.52枚ETH,ETHtransfers销毁212332.10枚ETH,UniswapV2销毁131946.92枚。注:自以太坊伦敦升级引入EIP-1559后,以太坊网络会根据交易需求和区块大小动态调整每笔交易的BaseFee,而这部分的费用将直接燃烧销毁。[2022/5/10 3:02:14]
②大部分被借来的WBNB被换成了ELEPHANT,以提高ELEPHANT的价格。
③随着ELEPPHANT价格的提高,攻击者的合约触发了ElephantMoney中一个未经验证合约的铸币方法。
借贷的BUSD被放置到该合约上,以铸造TRUNK。
部分的BUSD被换成了ELEPHANT。由于ELEPHANT的价格在上一步中被提高了,所以换来的ELEPHANT的数量比预期的要少。
所有的代币被发送到Treasury合约。
④攻击者合约将ELEPHANT掉包成了WBNB,以降低ELEPHANT的价格。
⑤随着ELEPHANT价格的降低,攻击合约触发了ElephantMoney未经验证的合约的赎回。
在步骤③中铸造的TRUNK代币被烧毁。
大约6千万单位的BUSD和64兆单位的ELEPHANT从Treasury合约中被提取出来,发送到攻击者合约中。由于攻击者对价格进行了操纵,提取的ELEPHANT的数量远远大于步骤③中存入的ELEPHANT的数量。
⑥攻击者重复了这个过程,从Treasury合约中盗走了更多的ELEPHANT。⑦随后攻击者将盗窃代币交易卖出,偿还了闪电贷,并从攻击者合约中提取了利润。
合约漏洞分析
未经验证的合约(0xd520a3b)使用Uniswappair池作为价格预言机,因此预言机可被操纵。
目前总受窃资产约为7198万元人民币。详情请复制链接至浏览器查看:https://twitter.com/PeckShieldAlert/status/1514145304253120515
该次事件可通过安全审计发现相关风险。
使用pair池作为价格预言机导致价格操纵攻击是一个常见问题,因此安全审计可避免类似的风险。
在此,CertiK的安全专家建议:
尽量避免使用流动性低的池子作为价格预言机价格来源,同时对项目进行安全审计从而保证预言机模型的正确性
标签:PHAANTHANLEPAlpha Capital (New)santos币前景Shihtzu ExchangeLEPA币
2022年新春之际,为进一步贯彻顶峰AscendEX“回馈用户”的经营宗旨,答谢用户在过去一年给予平台的支持与厚爱,涵盖现货、Staking质押、杠杆以及FTRB新币挖矿暨全球独家首发等在内的多维度用户福利搭乘春风如约而至.
1900/1/1 0:00:00波卡及其平行链插槽拍卖之所以会成为当下备受关注的焦点,与其创始人GavinWood以及其背后宏大的Web3.0愿景有关。GavinWood离开以太坊后创建了波卡,并向加密世界展示了其对Web3.0的构想.
1900/1/1 0:00:00Jan.2022,Lesley/img/20230515005203195471/0.jpg "/>中关村互联网金融研究院院长刘勇:发展区块链意味着必须迎接其所带来的安全挑战:中关村互联网金融研究院院长、区块链安全研究中心秘书长、国培.
1900/1/1 0:00:00流行文化对创业企业的看法是,它们都是先想出了一个绝妙的产品创意,在灵光一现之后,结果也就注定了。这样的看法忽视了创业者多年的辛劳,也忽视了绝大多数创业公司随着时间的推移而发生变化的事实,而且往往都是巨大的变化.
1900/1/1 0:00:00PocketNetwork作为基础设施中间件协议,其去中心化节点基础设施已扩展至全球30多个国家和地区,分布于6大洲中,为Ethereum,Polygon,Solana,Avalanche.
1900/1/1 0:00:00WorldMobile正在发射高空飞艇,作为向坦桑尼亚两个岛屿提供网络覆盖的一部分。坦桑尼亚的桑给巴尔岛和奔巴岛即将成为WorldMobile网络的测试站点,其创建者希望WorldMobile的脚步不止于坦桑尼亚,放眼于整个撒哈拉以南.
1900/1/1 0:00:00