Протокол Elephant Money - REKT

Два аудита не смогли защитить протокол Elephant Money от ончейновых браконьеров.

Ни Solidity Finance, ни Certik не сообщили Elephant об уязвимости в механизме манипулирования ценами, и позже она была использована для атаки с помощью флэш-займов, которую этот Слон захочет забыть.

В официальном пост-мортеме говорится о потере $11.2M, однако в Peckshield позже отметили, что Elephant предпочли не включать туда потерю ~30 миллиардов токенов ELEPHANT, в результате чего общая сумма убытков составила $22.2M.

“НЕ ПРОДАВАЙТЕ” - говорят в Elephant Money.

Это что... финансовый совет?

Источник: BlockSecTeam

Злоумышленник использовал флэш-займы для манипулирования ценой токена ELEPHANT в момент чеканки стейблкойна проекта - TRUNK.

Пример транзакции: 0xec317deb2f3efdc1dbf7ed5d3902cdf2c33ae512151646383a8cf8cbcd3d4577

Изначально злоумышленник взял флэш-займы в виде 131k WBNB и 91M BUSD, 131,162.00 WBNB были обменены на 34.244e21 ELEPHANT.

TRUNK можно начеканить, депонировав BUSD. Во время этого процесса уязвимый контракт сначала делает своп BUSD на WBNB, а затем использует WBNB для покупки ELEPHANT, поднимая цену ELEPHANT. Запуская чеканку, хакер одновременно получает TRUNK и увеличивает стоимость ELEPHANT, полученных на предыдущем этапе.

Затем хакер обменивает ELEPHANT, первоначально купленные за 131k WBNB, на 164k WBNB. Помимо этого хакер выкупил TRUNK на 37k WBNB и 67M BUSD, получив в сумме ~200k WBNB и ~67M BUSD. После возврата флэш-займов (131k WBNB и 91M BUSD) итоговая прибыль составила ~$4 миллиона.

Тот же процесс повторялся по кругу, в результате чего общий выигрыш хакера составил более 27k WBNB ($11.2M). После инцидента фонды переслали на различные аккаунты и затем либо перевели через мост в Ethereum, либо послали в Tornado Cash, как видно на изображении ниже.

Позиция #28 в рейтинге достается Elephant Money, несмотря на их попытку приуменьшить потери.

Цена $ELEPHANT сейчас на 75% ниже, а их “стейбл”коин TRUNK упал на 40%, прежде чем частично восстановиться до $0.78.

Это стандартный сценарий с использованием флэш-займов и манипулированием ценой.

Самая интересная часть здесь - это заголовок / финансовый совет от отдела маркетинга Elephant Money.

Значит, мы покупаем на хаях... а потом мы продаем на... ?

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.