No dia 17 de março de 2022, uma transação suspeita envolvendo APE Coin chamou a atenção generalizada. De acordo com os relatos de usuários das redes sociais, alguns Bots de arbitragem obtiveram mais de 60.000 APE Coin através de Empréstimos Flash, cada um valendo cerca de 8 dólares.
Após análise, este evento está relacionado a uma vulnerabilidade no mecanismo de airdrop do APE Coin. A elegibilidade para o airdrop do APE Coin depende de o usuário possuir o NFT BYAC em um momento específico. No entanto, esse estado momentâneo pode ser manipulado. O atacante utiliza Empréstimos Flash para emprestar o Token BYAC, em seguida, troca para obter o NFT BYAC, usa esses NFTs para reivindicar o airdrop do APE e, por fim, mina o NFT BYAC de volta para Token BYAC para reembolsar o Empréstimos Flash. Este padrão de ataque é muito semelhante aos ataques de manipulação de preços baseados em Empréstimos Flash, pois ambos exploram a característica de que o estado momentâneo dos ativos pode ser manipulado.
Abaixo está uma análise do processo de ataque específico a transações:
Primeiro passo: Preparação para o ataque
O atacante comprou um NFT BYAC de número 1060 no mercado público por 106 ETH e transferiu-o para um contrato de ataque.
Segunda etapa: pegar emprestado Empréstimos Flash e trocar por NFT BYAC
O atacante contraiu um grande número de Tokens BYAC através de Empréstimos Flash e trocou-os por 5 NFTs BYAC (com os números 7594, 8214, 9915, 8167 e 4755).
Terceiro passo: usar o NFT BYAC para receber a recompensa do airdrop
O atacante usou 6 NFTs (incluindo o número 1060 comprado e 5 trocados) para reivindicar o airdrop, recebendo um total de 60.564 tokens APE como recompensa.
Quarta etapa: cunhar NFT BYAC para obter Token BYAC
Para reembolsar o Empréstimos Flash, o atacante irá cunhar o BYAC NFT obtido de volta em BYAC Token. Ao mesmo tempo, ele também cunhou seu NFT número 1060 para obter BYAC Token extra para pagar a taxa de serviço do Empréstimos Flash. Por fim, os BYAC Token restantes foram vendidos, obtendo cerca de 14 ETH.
Situação de Lucros
O atacante acabou por obter 60.564 tokens APE, no valor de cerca de 500.000 dólares. O custo do ataque foi o preço do NFT número 106 (106 ETH) menos os 14 ETH obtidos com a venda do token BYAC.
lição
Este evento expôs a vulnerabilidade de depender apenas do estado instantâneo para a distribuição de airdrops. Quando o custo de manipular o estado é inferior à recompensa do airdrop, surgem oportunidades de ataque. Isso nos lembra que, ao projetar mecanismos de airdrop, precisamos considerar mais fatores e não apenas a situação de posse de ativos em um determinado momento.
Esse tipo de ataque que utiliza Empréstimos Flash e estados instantâneos apresenta novos desafios para o design de segurança de projetos de blockchain. Projetos futuros ao desenvolver mecanismos semelhantes devem ser mais cautelosos, considerando vários cenários de ataque possíveis, a fim de garantir a segurança e a equidade do sistema.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
16 Curtidas
Recompensa
16
4
Repostar
Compartilhar
Comentário
0/400
AirdropSkeptic
· 13h atrás
又有人Cupões de Recorte 见怪不怪了
Ver originalResponder0
TokenTherapist
· 13h atrás
48w dólares foram assim embora...
Ver originalResponder0
DeFiChef
· 13h atrás
Está a voltar a aproveitar-se, certo?
Ver originalResponder0
MetaReckt
· 14h atrás
Blockchain ainda depende de contratos inteligentes para funcionar.
Vulnerabilidade do Airdrop APE explorada ataque de empréstimo flash para arbitragem 60564 moedas APE
No dia 17 de março de 2022, uma transação suspeita envolvendo APE Coin chamou a atenção generalizada. De acordo com os relatos de usuários das redes sociais, alguns Bots de arbitragem obtiveram mais de 60.000 APE Coin através de Empréstimos Flash, cada um valendo cerca de 8 dólares.
Após análise, este evento está relacionado a uma vulnerabilidade no mecanismo de airdrop do APE Coin. A elegibilidade para o airdrop do APE Coin depende de o usuário possuir o NFT BYAC em um momento específico. No entanto, esse estado momentâneo pode ser manipulado. O atacante utiliza Empréstimos Flash para emprestar o Token BYAC, em seguida, troca para obter o NFT BYAC, usa esses NFTs para reivindicar o airdrop do APE e, por fim, mina o NFT BYAC de volta para Token BYAC para reembolsar o Empréstimos Flash. Este padrão de ataque é muito semelhante aos ataques de manipulação de preços baseados em Empréstimos Flash, pois ambos exploram a característica de que o estado momentâneo dos ativos pode ser manipulado.
Abaixo está uma análise do processo de ataque específico a transações:
Primeiro passo: Preparação para o ataque
O atacante comprou um NFT BYAC de número 1060 no mercado público por 106 ETH e transferiu-o para um contrato de ataque.
Segunda etapa: pegar emprestado Empréstimos Flash e trocar por NFT BYAC
O atacante contraiu um grande número de Tokens BYAC através de Empréstimos Flash e trocou-os por 5 NFTs BYAC (com os números 7594, 8214, 9915, 8167 e 4755).
Terceiro passo: usar o NFT BYAC para receber a recompensa do airdrop
O atacante usou 6 NFTs (incluindo o número 1060 comprado e 5 trocados) para reivindicar o airdrop, recebendo um total de 60.564 tokens APE como recompensa.
Quarta etapa: cunhar NFT BYAC para obter Token BYAC
Para reembolsar o Empréstimos Flash, o atacante irá cunhar o BYAC NFT obtido de volta em BYAC Token. Ao mesmo tempo, ele também cunhou seu NFT número 1060 para obter BYAC Token extra para pagar a taxa de serviço do Empréstimos Flash. Por fim, os BYAC Token restantes foram vendidos, obtendo cerca de 14 ETH.
Situação de Lucros
O atacante acabou por obter 60.564 tokens APE, no valor de cerca de 500.000 dólares. O custo do ataque foi o preço do NFT número 106 (106 ETH) menos os 14 ETH obtidos com a venda do token BYAC.
lição
Este evento expôs a vulnerabilidade de depender apenas do estado instantâneo para a distribuição de airdrops. Quando o custo de manipular o estado é inferior à recompensa do airdrop, surgem oportunidades de ataque. Isso nos lembra que, ao projetar mecanismos de airdrop, precisamos considerar mais fatores e não apenas a situação de posse de ativos em um determinado momento.
Esse tipo de ataque que utiliza Empréstimos Flash e estados instantâneos apresenta novos desafios para o design de segurança de projetos de blockchain. Projetos futuros ao desenvolver mecanismos semelhantes devem ser mais cautelosos, considerando vários cenários de ataque possíveis, a fim de garantir a segurança e a equidade do sistema.