算法穩定幣｜ Elephant Money遭閃電貸攻擊「損失1,120萬鎂」，TRUNK脫鉤、Elephant暴跌90%

區塊鏈安全公司 BlockSec 警告 BNB 鏈上算法穩定幣項目 Elephant Money 遭閃電貸攻擊。項目方今早也證實攻擊所造成的官方損失達 1,120 萬美元，並造成項目獎勵代幣 ELEPHANT 跳水近 90%、TRUNK 穩定幣嚴重脫鉤。
（前情提要：OneRing Finance遇閃電貸攻擊、損失200萬美元；RING代幣急挫超20%）

 

區 區塊鏈安全公司 BlockSec 警告系統 BlockSecAlert 官方推特今（13）日示警 BNB 鏈上算法穩定幣項目 Elephant Money 遭受閃電貸攻擊，攻擊者在一輪攻擊中即可獲利高達 400 萬美元，BlockSec 對此進行事件分析。

1/ #gymdefi on BSC was attacked(https://t.co/kRunGSnHQV).

We suspect it’s due to the vulnerability in the migrate() function in 0x1befe6f3f0e8edd2d4d15cae97baee01e51ea4a4(https://t.co/RZL8AQjmkm).@defiprime

— BlockSec (@BlockSecTeam) April 9, 2022

閃電貸價格操縱手法

1) 攻擊者首先使用閃電貸借了 131,162 顆 WBNB ，2) 用 WBNB 買入大量項目的核心獎勵代幣 ELEPHANT，3)然後用 BUSD 鑄造算法穩定幣 TRUNK，從中利用合約漏洞推高 ELEPHANT 價格。

易受攻擊的合約會先將 BUSD 換成 WBNB，然後用 WBNB 買 ELEPHANT。在此過程中，ELEPHANT 價格會上漲，攻擊者獲得了 TRUNK 穩定幣。

BlockSec  補充攻擊者可以使用步驟 2 買入的 ELEPHANT 來兑換更多的 WBNB，他在步驟 3 中兌換了 TRUNK 代幣，得到約 36,987 顆 WBNB 和 66,884,140 顆 BUSD。

由於攻擊後的代幣價值大於成本，攻擊者在一輪攻擊中可獲利約 400 萬美元，並可重複以上過程。

官方宣稱損失至少 1,120 萬美元的 BNB

Elephant Money 也在今日稍早證實有數位攻擊者協同對漏洞攻擊，造成約 27,416 BNB（ 1,120 萬美元）的官方損失。同時宣布目前已暫停儲備（Reserve），這將禁用 Stampede （允許用戶以 205% APR 綁定 TRUNK）和 TRUNK 的鑄造/兌換，並和合作夥伴 Certik / InsurAce 展開調查，最後強調用戶的資金處在安全狀態。

然而，針對損失金額，知名區塊鏈安全公司派盾（PeckShield）向項目方提出質疑稱：

您是否還計算了約 30,414,784,643,751.426 顆 Elephant 的損失，在撰寫本文時至少價值 1,100 萬美元

We are pausing the Reserve which will disable Stampede and the minting/redeeming of TRUNK.

We are working with our partners at Certik /InsurAce to investigate this attack.

ACTION YOU SHOULD TAKE

– DO NOT SELL

– DO NOT ANSWER DMS

– YOUR FUNDS ARE SAFUhttps://t.co/h6Cnz1ANw6 pic.twitter.com/zoSC3qofIO

— Elephant Money (@ElephantStatus) April 12, 2022

延伸閱讀：遭質疑是龐氏騙局，Wave幣價單週崩跌超50%、算法穩定幣 USDN 脫鉤！

ELEPHANT 跳水近 90%、TRUNK 嚴重脫鉤

據《BSC NEWS》，Elephant Money 是一種主打高收益的算法穩定幣項目。其使用 Reserve 鑄造 TRUNK ，以固定 75% BUSD 和 25% ELEPHANT 進行部分抵押。TRUNK 旨在與 BUSD 保持緊密掛鉤，收益和價值由核心 ELEPHANT 獎勵代幣和 BUSD 構建的金庫系統提供支持。

受到攻擊後，ELEPHANT 的價格凌晨已從 0.0000003882 美元暴跌最低至 0.00000004029 美元，最深跌幅破 89 %，截稿前價格略升至 0.00000008554 美元。

而 TRUNK 也大受波及，與美元嚴重脫鉤，今日最深一度跌至 0.591 美元，至截稿前仍達 0.6689，脫鉤危機仍待化解。

駭客已洗出 3472 ETH

據派盾的報告顯示，駭客的初始資金是從混幣器 Tornado.Cash 發出，並當前已經將攻擊收益中的 5 %，轉移至到 Tornado.Cash，已有 3,472 枚 ETH 從 Tornado.Cash 轉出。

📍