區塊鏈安全公司 BlockSec 警告 BNB 鏈上算法穩定幣項目 Elephant Money 遭閃電貸攻擊。項目方今早也證實攻擊所造成的官方損失達 1,120 萬美元,並造成項目獎勵代幣 ELEPHANT 跳水近 90%、TRUNK 穩定幣嚴重脫鉤。
(前情提要:OneRing Finance遇閃電貸攻擊、損失200萬美元;RING代幣急挫超20%)
區 區塊鏈安全公司 BlockSec 警告系統 BlockSecAlert 官方推特今(13)日示警 BNB 鏈上算法穩定幣項目 Elephant Money 遭受閃電貸攻擊,攻擊者在一輪攻擊中即可獲利高達 400 萬美元,BlockSec 對此進行事件分析。
1/ #gymdefi on BSC was attacked(https://t.co/kRunGSnHQV).
We suspect it's due to the vulnerability in the migrate() function in 0x1befe6f3f0e8edd2d4d15cae97baee01e51ea4a4(https://t.co/RZL8AQjmkm).@defiprime
— BlockSec (@BlockSecTeam) April 9, 2022
閃電貸價格操縱手法
1) 攻擊者首先使用閃電貸借了 131,162 顆 WBNB ,2) 用 WBNB 買入大量項目的核心獎勵代幣 ELEPHANT,3)然後用 BUSD 鑄造算法穩定幣 TRUNK,從中利用合約漏洞推高 ELEPHANT 價格。
易受攻擊的合約會先將 BUSD 換成 WBNB,然後用 WBNB 買 ELEPHANT。在此過程中,ELEPHANT 價格會上漲,攻擊者獲得了 TRUNK 穩定幣。
BlockSec 補充攻擊者可以使用步驟 2 買入的 ELEPHANT 來兑換更多的 WBNB,他在步驟 3 中兌換了 TRUNK 代幣,得到約 36,987 顆 WBNB 和 66,884,140 顆 BUSD。
由於攻擊後的代幣價值大於成本,攻擊者在一輪攻擊中可獲利約 400 萬美元,並可重複以上過程。
官方宣稱損失至少 1,120 萬美元的 BNB
Elephant Money 也在今日稍早證實有數位攻擊者協同對漏洞攻擊,造成約 27,416 BNB( 1,120 萬美元)的官方損失。同時宣布目前已暫停儲備(Reserve),這將禁用 Stampede (允許用戶以 205% APR 綁定 TRUNK)和 TRUNK 的鑄造/兌換,並和合作夥伴 Certik / InsurAce 展開調查,最後強調用戶的資金處在安全狀態。
然而,針對損失金額,知名區塊鏈安全公司派盾(PeckShield)向項目方提出質疑稱:
您是否還計算了約 30,414,784,643,751.426 顆 Elephant 的損失,在撰寫本文時至少價值 1,100 萬美元
We are pausing the Reserve which will disable Stampede and the minting/redeeming of TRUNK.
We are working with our partners at Certik /InsurAce to investigate this attack.
ACTION YOU SHOULD TAKE
– DO NOT SELL
– DO NOT ANSWER DMS
– YOUR FUNDS ARE SAFUhttps://t.co/h6Cnz1ANw6 pic.twitter.com/zoSC3qofIO
— Elephant Money (@ElephantStatus) April 12, 2022
延伸閱讀:遭質疑是龐氏騙局,Wave幣價單週崩跌超50%、算法穩定幣 USDN 脫鉤!
ELEPHANT 跳水近 90%、TRUNK 嚴重脫鉤
據《BSC NEWS》,Elephant Money 是一種主打高收益的算法穩定幣項目。其使用 Reserve 鑄造 TRUNK ,以固定 75% BUSD 和 25% ELEPHANT 進行部分抵押。TRUNK 旨在與 BUSD 保持緊密掛鉤,收益和價值由核心 ELEPHANT 獎勵代幣和 BUSD 構建的金庫系統提供支持。
受到攻擊後,ELEPHANT 的價格凌晨已從 0.0000003882 美元暴跌最低至 0.00000004029 美元,最深跌幅破 89 %,截稿前價格略升至 0.00000008554 美元。
而 TRUNK 也大受波及,與美元嚴重脫鉤,今日最深一度跌至 0.591 美元,至截稿前仍達 0.6689,脫鉤危機仍待化解。
駭客已洗出 3472 ETH
據派盾的報告顯示,駭客的初始資金是從混幣器 Tornado.Cash 發出,並當前已經將攻擊收益中的 5 %,轉移至到 Tornado.Cash,已有 3,472 枚 ETH 從 Tornado.Cash 轉出。
📍相關報導📍
觀點|穩定幣的未來:「算法穩定幣」有可能接棒完成 BTC 目標-電子現金
解析閃電貸》今年DeFi被盜最高破1.2億鎂,去中心化金融成「駭客」斂財神器?
Near 4/20 將推出算法穩定幣USN、提供20%年化報酬;聞訊暴漲25%
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務