区区块链安全公司BlockSec警告系统BlockSecAlert官方推特今(13)日示警BNB链上算法稳定币项目Elephant Money遭受闪电贷攻击购宝钱包，攻击者在一轮攻击中即可获利高达400万美元，BlockSec对此进行事件分析。

闪电贷价格操纵手法

1)攻击者首先使用闪电贷借了131,162枚WBNB

2)用WBNB买入大量项目的核心奖励代币ELEPHANT

3)然后用BUSD铸造算法稳定币TRUNK，从中利用合约漏洞推高ELEPHANT价格。

“易受攻击的合约会先将BUSD换成WBNB，然后用WBNB买ELEPHANT。在此过程中，ELEPHANT价格会上涨，攻击者获得了TRUNK稳定币。”

BlockSec补充攻击者可以使用步骤2买入的ELEPHANT来兑换更多的WBNB，他在步骤3中兑换了TRUNK代币，得到约36,987枚WBNB和66,884,140枚BUSD。

“由于攻击后的代币价值大于成本，攻击者在一轮攻击中可获利约400万美元，并可重复以上过程。”

官方宣称损失至少1,120万美元的BNB

Elephant Money也在今日稍早证实有数位攻击者协同对漏洞攻击，造成约27,416BNB(1,120万美元)的官方损失。同时宣布目前已暂停储备(Reserve)，这将禁用Stampede(允许用户以205%APR绑定TRUNK)和TRUNK的铸造/兑换，并和合作伙伴Certik/InsurAce展开调查，最后强调用户的资金处在安全状态。

然而，针对损失金额，知名区块链安全公司派盾(PeckShield)向项目方提出质疑称：您是否还计算了约30,414,784,643,751.426枚Elephant的损失，在撰写本文时至少价值1,100万美元。

ELEPHANT跳水近90%、TRUNK严重脱钩

据《BSCNEWS》，Elephant Money是一种主打高收益的算法稳定币项目。其使用Reserve铸造TRUNK，以固定75%BUSD和25%ELEPHANT进行部分抵押。TRUNK旨在与BUSD保持紧密挂钩，收益和价值由核心ELEPHANT奖励代币和BUSD构建的金库系统提供支持。

受到攻击后，ELEPHANT的价格凌晨已从0.0000003882美元暴跌最低至0.00000004029美元，最深跌幅破89%，截稿前价格略升至0.00000008554美元。

而TRUNK也大受波及，与美元严重脱钩，今日最深一度跌至0.591美元，至截稿前仍达0.6689，脱钩危机仍待化解。

骇客已洗出3472ETH

据派盾的报告显示，骇客的初始资金是从混币器Tornado.Cash发出，并当前已经将攻击收益中的5%，转移至到Tornado.Cash，已有3,472枚ETH从Tornado.Cash转出。