比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > KuCoin > Info

隨意操縱數十「兆」代幣,Elephant Money攻擊事件分析-ODAILY_ANT

Author:

Time:1900/1/1 0:00:00

北京時間2022年4月13日凌晨0點49分,CertiK審計團隊監測到ElephantMoney被攻擊,導致27,416.46枚BNB遭受損失。

下文CertiK安全團隊將從該項目攻擊操作及合約等方面為大家詳細解讀并分析。請大家注意識別風險,謹慎投資!

攻擊步驟

攻擊者利用了TRUNK代幣的贖回機制,通過操縱價格預言機以贖出更多的代幣,并從一個Treasury合約中竊取了ELEPHANT。該Treasury合約是一個未經驗證的合約。

被黑客攻擊的加密貨幣交易所Mango法律費用激增:金色財經報道,在Avi Eisenberg被指控攻擊基于區塊鏈的交易協議 Mango Markets 并獲得超過1億美元近一年后,該平臺的利益相關者正在努力承擔不斷增長的法律費用。根據該平臺創始人一項關鍵提案的早期投票結果,社區似乎不愿意繼續買單。Mango Labs是構建Solana區塊鏈交易所的主要公司,比計劃提前六個月花費了近 200 萬美元(其2023 年全部預算),目前資金短缺。隨著更多“監管調查”的臨近,該公司已要求Mango DAO成員批準另外 200 萬美元的法律費用,但項目內部人士要求提高公司預算管理方式的透明度。

據Realms網站稱,Mango DAO金庫中約有 8900 萬美元,但其中大部分以 MNGO 代幣計價,而這些代幣的市場流動性可能不足以快速輕松地出售它們。[2023/8/8 21:30:58]

①攻擊者部署了一個攻擊者合約,并使用閃電貸從多個pair池中借取了WBNB和BUSD。

新火科技CEO杜均:監管合規和DeFi是未來行業的兩個突破點:3月7日消息,新火科技(1611.HK)CEO杜均在接受南華早報的最新采訪中表示,未來加密貨幣行業將會有兩個突破點:監管合規以及DeFi。

杜均表示,2023年新火科技將會推出一系列DeFi產品,包括去中心化錢包和質押平臺,以吸引潛在的投資客群。同時,他個人在2023年的目標是領導新火科技,使其成為 “一家受人尊敬的公司”,且能夠在“主流金融領域”占據一席之地。[2023/3/7 12:46:51]

②大部分被借來的WBNB被換成了ELEPHANT,以提高ELEPHANT的價格。

PeckShield:XCarnival攻擊者疑似返還1467枚ETH:6月27日消息,派盾(PeckShield)監測顯示,XCarnival攻擊者疑似已返還1467枚ETH。

今晨報道,XCarnival表示(在攻擊者退還盜取資金的前提下)將給予攻擊者(0xb7CBB4d43F1e08327A90B32A8417688C9D0B800a)1500枚ETH的賞金,并明確免除對此人的法律訴訟。[2022/6/27 1:33:54]

③隨著ELEPPHANT價格的提高,攻擊者的合約觸發了ElephantMoney中一個未經驗證合約的鑄幣方法。

借貸的BUSD被放置到該合約上,以鑄造TRUNK。

部分的BUSD被換成了ELEPHANT。由于ELEPHANT的價格在上一步中被提高了,所以換來的ELEPHANT的數量比預期的要少。

所有的代幣被發送到Treasury合約。

④攻擊者合約將ELEPHANT掉包成了WBNB,以降低ELEPHANT的價格。

⑤隨著ELEPHANT價格的降低,攻擊合約觸發了ElephantMoney未經驗證的合約的贖回。

在步驟③中鑄造的TRUNK代幣被燒毀。

大約6千萬單位的BUSD和64兆單位的ELEPHANT從Treasury合約中被提取出來,發送到攻擊者合約中。由于攻擊者對價格進行了操縱,提取的ELEPHANT的數量遠遠大于步驟③中存入的ELEPHANT的數量。

⑥攻擊者重復了這個過程,從Treasury合約中盜走了更多的ELEPHANT。⑦隨后攻擊者將盜竊代幣交易賣出,償還了閃電貸,并從攻擊者合約中提取了利潤。

合約漏洞分析

未經驗證的合約(0xd520a3b)使用Uniswappair池作為價格預言機,因此預言機可被操縱。

目前總受竊資產約為7198萬元人民幣。詳情請復制鏈接至瀏覽器查看:https://twitter.com/PeckShieldAlert/status/1514145304253120515

該次事件可通過安全審計發現相關風險。

使用pair池作為價格預言機導致價格操縱攻擊是一個常見問題,因此安全審計可避免類似的風險。

在此,CertiK的安全專家建議:

盡量避免使用流動性低的池子作為價格預言機價格來源,同時對項目進行安全審計從而保證預言機模型的正確性

Tags:LEPPHAANTELEaleph幣上市$ALPHA價格MUTANT價格seele幣創始人

KuCoin
Qredo的故事:從網絡到金庫-ODAILY_RED

當我們正在準備明年推出完全去中心化的QredoV2時,首席執行官AnthonyFoy為大家回顧了Qredo的發展歷程;中文社區的各位伙伴,讓我們一起,回顧這段去中心化之路.

1900/1/1 0:00:00
預言機變成鏈上「套利」專用工具?Fortress Loans「被薅羊毛」攻擊事件分析-ODAILY_ETH

北京時間2022年5月9日凌晨4:34:42,CertiK安全技術團隊監測到FortressLoans遭到攻擊.

1900/1/1 0:00:00
詳解Deus Finance預言機攻擊-ODAILY_SDC

1.前言 北京時間2022年3月15日,知道創宇區塊鏈安全實驗室監測到DeusFinance遭到黑客攻擊,損失約300萬美元。本文,知道創宇區塊鏈安全實驗室對本次事件進行了全面分析.

1900/1/1 0:00:00
?Mirana成為波場聯合儲備第五位成員和白名單機構-ODAILY_ETHER

據官方消息,Mirana已成為波場聯合儲備的第五位成員和白名單機構,獲得鑄造波場去中心化算法穩定幣USDD的權利.

1900/1/1 0:00:00
持有Gaming Tokens必須知道的事-ODAILY_KEN

March2022,SimonDataSource:FootprintAnalyticsGamingCoinsGameFi雖然Game在前.

1900/1/1 0:00:00
Tether項目周報(0501-0508)-ODAILY_ETH

TetherCTO:Tether沒有上市計劃5月5日消息,Tether的CTOPaoloArdoino在采訪時表示,計劃做的是繼續做我們正在做的事情,也就是說,真正成為人民的工具.

1900/1/1 0:00:00
ads