Анализ событий арбитража из-за уязвимости аирдропа APE Coin
17 марта 2022 года подозрительная сделка, связанная с APE Coin, привлекла внимание в отрасли. Сообщается, что некий арбитражный бот успешно использовал механизм.flash-кредита, чтобы получить более 60 000 монет APE, каждая из которых стоит около 8 долларов.
!
После глубокого анализа данное событие тесно связано с уязвимостью механизма аирдропа APE Coin. Определение права на участие в аирдропе основывается на том, держит ли пользователь BYAC NFT в конкретный момент времени, и это мгновенное состояние может быть именно манипулируемо злоумышленником с помощью флеш-кредита. Шаги злоумышленника включают: заимствование токенов BYAC, обмен на получение NFT BYAC, использование NFT для получения аирдропа APE, а затем повторное чеканка NFT в токены BYAC для погашения флеш-кредита. Эта модель атаки весьма схожа с атаками на манипуляцию ценами на основе флеш-кредита, обе используют возможность манипуляции мгновенным состоянием активов.
!
Вот анализ конкретного случая атаки:
Подготовка к атаке:
Нападающий купил NFT BYAC с номером 1060 за 106 ETH и перевел его на атакующий контракт.
!
Заимствование闪电贷 и обмен BYAC NFT:
Злоумышленник взял в долг большое количество токенов BYAC через услугу Flash Loan, а затем обменял их на 5 NFT BYAC (номера 7594, 8214, 9915, 8167 и 4755).
!
Используйте BYAC NFT для получения Аирдроп награды:
Нападающий использовал 6 NFT (включая ранее приобретенный номер 1060 и 5 новообретенных) для получения Аирдроп, в итоге он получил 60,564 токенов APE.
!
Перечеканивание NFT BYAC в токен BYAC:
Чтобы погасить займ, злоумышленник переплавил полученные NFT BYAC в токены BYAC. В то же время он также выплавил свой NFT номер 1060, чтобы получить дополнительные токены BYAC для оплаты комиссии за займ. Оставшиеся токены BYAC были проданы, что принесло около 14 ETH.
!
В итоге злоумышленник получил 60,564 токена APE, стоимостью около 500,000 долларов. Стоимость атаки составила 106 ETH (цена покупки NFT № 1060) минус 14 ETH (выручка от продажи токена BYAC).
!
Это событие выявило потенциальные риски аирдропов, основанных на мгновенном состоянии. Когда стоимость манипуляции состоянием ниже, чем вознаграждение за аирдроп, возникают возможности для арбитража. Для будущих аирдропов следует рассмотреть более надежные механизмы определения, чтобы предотвратить подобные атаки.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
7 Лайков
Награда
7
4
Поделиться
комментарий
0/400
FOMOmonster
· 07-20 23:03
ловушка狗 эта IQ я впечатлён!
Посмотреть ОригиналОтветить0
GweiWatcher
· 07-20 23:02
那些Хакер是吸血鬼
Посмотреть ОригиналОтветить0
rekt_but_resilient
· 07-20 23:01
Торговля криптовалютой мертва — это ловушка.
Посмотреть ОригиналОтветить0
BrokenYield
· 07-20 23:01
флеш-займы = печатная машина деньги бум... пока не сломается, смх
Арбитраж уязвимости Аирдропа APE: Срочные займы помогают получить 500000 долларов прибыли
Анализ событий арбитража из-за уязвимости аирдропа APE Coin
17 марта 2022 года подозрительная сделка, связанная с APE Coin, привлекла внимание в отрасли. Сообщается, что некий арбитражный бот успешно использовал механизм.flash-кредита, чтобы получить более 60 000 монет APE, каждая из которых стоит около 8 долларов.
!
После глубокого анализа данное событие тесно связано с уязвимостью механизма аирдропа APE Coin. Определение права на участие в аирдропе основывается на том, держит ли пользователь BYAC NFT в конкретный момент времени, и это мгновенное состояние может быть именно манипулируемо злоумышленником с помощью флеш-кредита. Шаги злоумышленника включают: заимствование токенов BYAC, обмен на получение NFT BYAC, использование NFT для получения аирдропа APE, а затем повторное чеканка NFT в токены BYAC для погашения флеш-кредита. Эта модель атаки весьма схожа с атаками на манипуляцию ценами на основе флеш-кредита, обе используют возможность манипуляции мгновенным состоянием активов.
!
Вот анализ конкретного случая атаки:
!
!
!
!
В итоге злоумышленник получил 60,564 токена APE, стоимостью около 500,000 долларов. Стоимость атаки составила 106 ETH (цена покупки NFT № 1060) минус 14 ETH (выручка от продажи токена BYAC).
!
Это событие выявило потенциальные риски аирдропов, основанных на мгновенном состоянии. Когда стоимость манипуляции состоянием ниже, чем вознаграждение за аирдроп, возникают возможности для арбитража. Для будущих аирдропов следует рассмотреть более надежные механизмы определения, чтобы предотвратить подобные атаки.
!
!