北京时间2022年4月13日凌晨0点49分,CertiK审计团队监测到ElephantMoney被攻击,导致27,416.46枚BNB遭受损失。
下文CertiK安全团队将从该项目攻击操作及合约等方面为大家详细解读并分析。请大家注意识别风险,谨慎投资!
Applied Blockchain 宣布计划更名为 Applied Digital:金色财经报道,Applied Blockchain计划将其名称从Applied Blockchain更改为Applied Blockchain。公司拟改名将更准确地反映其服务和更广泛的业务产品,以服务于需要大型计算能力应用程序的客户。虽然Applied Blockchain仍然是许多加密货币挖掘业务的数字基础设施的主要供应商,但对于公司来说,重要的是要区分其下一代数据中心支持许多其他高性能计算 (HPC) 应用程序。该计划将于 2022 年 11 月 10 日举行的公司年度股东大会上提交股东批准,更名不会对战略或运营产生影响,股票代码“APLD”将保持不变。
此前报道,加密矿企Applied Blockchain获得1500万美元信贷额度,将用于偿还债务及建设数据中心。[2022/8/25 12:48:42]
攻击步骤
21,000 人签署请愿书要求SEC主席辞职:8月3日消息,21,000名美国公民在Change.org上签署了一份请愿书,要求证券交易委员会(SEC)主席Gary Gensler辞职。
请愿书指控Gary Gensler参与了Citadel Securities、Citadel做市商裸卖空和暗池滥用的犯罪活动。且请愿书称,Gary Gensler犯了妨碍司法罪,因为他没有执行有关裸卖空的法律,也没有对做市商活动进行有效监督。
请愿书似乎来自WallStreetBets人群,特别是GME和AMC投资者,他们声称被做空的股票远远多于流通的股票。(Trustnodes)[2022/8/3 2:57:25]
攻击者利用了TRUNK代币的赎回机制,通过操纵价格预言机以赎出更多的代币,并从一个Treasury合约中窃取了ELEPHANT。该Treasury合约是一个未经验证的合约。
NFT交易聚合器Gem新增Sweeps数据展示页面:5月12日消息,NFT 交易聚合器 Gem 宣布在其主页新增 Sweeps 数据展示页面,用户可实时浏览 OpenSea、LooksRare 和其他市场上发生的最新扫地板动态,并可按时间、价格、项目数量和其他设置进行过滤筛选。[2022/5/12 3:09:38]
①攻击者部署了一个攻击者合约,并使用闪电贷从多个pair池中借取了WBNB和BUSD。
②大部分被借来的WBNB被换成了ELEPHANT,以提高ELEPHANT的价格。
③随着ELEPPHANT价格的提高,攻击者的合约触发了ElephantMoney中一个未经验证合约的铸币方法。
借贷的BUSD被放置到该合约上,以铸造TRUNK。
部分的BUSD被换成了ELEPHANT。由于ELEPHANT的价格在上一步中被提高了,所以换来的ELEPHANT的数量比预期的要少。
所有的代币被发送到Treasury合约。
④攻击者合约将ELEPHANT掉包成了WBNB,以降低ELEPHANT的价格。
⑤随着ELEPHANT价格的降低,攻击合约触发了ElephantMoney未经验证的合约的赎回。
在步骤③中铸造的TRUNK代币被烧毁。
大约6千万单位的BUSD和64兆单位的ELEPHANT从Treasury合约中被提取出来,发送到攻击者合约中。由于攻击者对价格进行了操纵,提取的ELEPHANT的数量远远大于步骤③中存入的ELEPHANT的数量。
⑥攻击者重复了这个过程,从Treasury合约中盗走了更多的ELEPHANT。⑦随后攻击者将盗窃代币交易卖出,偿还了闪电贷,并从攻击者合约中提取了利润。
合约漏洞分析
未经验证的合约(0xd520a3b)使用Uniswappair池作为价格预言机,因此预言机可被操纵。
目前总受窃资产约为7198万元人民币。详情请复制链接至浏览器查看:https://twitter.com/PeckShieldAlert/status/1514145304253120515
该次事件可通过安全审计发现相关风险。
使用pair池作为价格预言机导致价格操纵攻击是一个常见问题,因此安全审计可避免类似的风险。
在此,CertiK的安全专家建议:
尽量避免使用流动性低的池子作为价格预言机价格来源,同时对项目进行安全审计从而保证预言机模型的正确性
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。