El 17 de marzo de 2022, una transacción sospechosa relacionada con APE Coin llamó la atención general. Según los informes de usuarios en redes sociales, algunos Bots de arbitraje obtuvieron más de 60,000 APE Coin a través de Flash Loans, cada una con un valor aproximado de 8 dólares.
Después de un análisis, este evento está relacionado con una vulnerabilidad en el mecanismo de airdrop de APE Coin. La elegibilidad para el airdrop de APE Coin depende de si el usuario posee un NFT de BYAC en un momento específico. Sin embargo, este estado momentáneo puede ser manipulado. Los atacantes utilizan Flash Loans para pedir prestado el Token de BYAC, luego lo intercambian para obtener el NFT de BYAC, y utilizan estos NFT para reclamar el airdrop de APE, y finalmente acuñan de vuelta el NFT de BYAC al Token de BYAC para reembolsar el Flash Loan. Este patrón de ataque es muy similar a los ataques de manipulación de precios basados en Flash Loans, ya que ambos aprovechan la característica de que el estado momentáneo de los activos puede ser manipulado.
A continuación se presenta un análisis del proceso de un ataque específico en la transacción:
Primer paso: Preparación del ataque
El atacante compró un NFT BYAC número 1060 en el mercado público por un precio de 106 ETH y lo transfirió al contrato de ataque.
Paso 2: Tomar un Flash Loans y intercambiar por BYAC NFT
El atacante tomó prestados grandes cantidades de tokens BYAC a través de Flash Loans y los intercambió por 5 NFT de BYAC (con los números 7594, 8214, 9915, 8167 y 4755).
Tercer paso: utiliza el NFT BYAC para reclamar la recompensa del airdrop
Los atacantes utilizaron 6 NFT (incluyendo el número 1060 comprado y 5 canjeados) para reclamar el airdrop, obteniendo un total de 60,564 tokens APE como recompensa.
Cuarto paso: acuñar NFT BYAC para obtener el Token BYAC
Para pagar el Flash Loans, el atacante acuñará el NFT BYAC obtenido de vuelta en el Token BYAC. Al mismo tiempo, también acuñó su NFT número 1060 para obtener Tokens BYAC adicionales y pagar la tarifa del Flash Loan. Finalmente, venderá el Token BYAC restante, obteniendo aproximadamente 14 ETH.
situación de ganancias
El atacante finalmente obtuvo 60,564 tokens APE, con un valor de aproximadamente 500,000 dólares. El costo del ataque fue el precio del NFT número 106 (106 ETH) menos los 14 ETH obtenidos de la venta de tokens BYAC.
lección
Este evento expuso la vulnerabilidad de depender únicamente del estado instantáneo para las airdrops. Cuando el costo de manipular el estado es menor que la recompensa de la airdrop, se generan oportunidades de ataque. Esto nos recuerda que al diseñar mecanismos de airdrop, debemos considerar más factores y no solo la situación de tenencia de activos en un momento dado.
Este tipo de ataque que utiliza Flash Loans y estados instantáneos presenta nuevos desafíos para el diseño de seguridad de los proyectos de blockchain. Los proyectos futuros que diseñen mecanismos similares deben ser más cautelosos y considerar diversos escenarios de ataque posibles para garantizar la seguridad y equidad del sistema.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
16 me gusta
Recompensa
16
5
Republicar
Compartir
Comentar
0/400
RugPullSurvivor
· hace11h
trampa perro es el verdadero arte.
Ver originalesResponder0
AirdropSkeptic
· 08-09 06:58
Ya hay personas que están usando cupones de clip, no es sorprendente.
Ver originalesResponder0
TokenTherapist
· 08-09 06:53
48w dólares se fueron volando...
Ver originalesResponder0
DeFiChef
· 08-09 06:52
¿Vas a volver a conseguirlo gratis?
Ver originalesResponder0
MetaReckt
· 08-09 06:38
La cadena de bloques aún depende de los contratos inteligentes.
La vulnerabilidad del APE Airdrop fue explotada para el arbitraje de 60564 monedas APE a través de ataques de Flash Loans.
El 17 de marzo de 2022, una transacción sospechosa relacionada con APE Coin llamó la atención general. Según los informes de usuarios en redes sociales, algunos Bots de arbitraje obtuvieron más de 60,000 APE Coin a través de Flash Loans, cada una con un valor aproximado de 8 dólares.
Después de un análisis, este evento está relacionado con una vulnerabilidad en el mecanismo de airdrop de APE Coin. La elegibilidad para el airdrop de APE Coin depende de si el usuario posee un NFT de BYAC en un momento específico. Sin embargo, este estado momentáneo puede ser manipulado. Los atacantes utilizan Flash Loans para pedir prestado el Token de BYAC, luego lo intercambian para obtener el NFT de BYAC, y utilizan estos NFT para reclamar el airdrop de APE, y finalmente acuñan de vuelta el NFT de BYAC al Token de BYAC para reembolsar el Flash Loan. Este patrón de ataque es muy similar a los ataques de manipulación de precios basados en Flash Loans, ya que ambos aprovechan la característica de que el estado momentáneo de los activos puede ser manipulado.
A continuación se presenta un análisis del proceso de un ataque específico en la transacción:
Primer paso: Preparación del ataque
El atacante compró un NFT BYAC número 1060 en el mercado público por un precio de 106 ETH y lo transfirió al contrato de ataque.
Paso 2: Tomar un Flash Loans y intercambiar por BYAC NFT
El atacante tomó prestados grandes cantidades de tokens BYAC a través de Flash Loans y los intercambió por 5 NFT de BYAC (con los números 7594, 8214, 9915, 8167 y 4755).
Tercer paso: utiliza el NFT BYAC para reclamar la recompensa del airdrop
Los atacantes utilizaron 6 NFT (incluyendo el número 1060 comprado y 5 canjeados) para reclamar el airdrop, obteniendo un total de 60,564 tokens APE como recompensa.
Cuarto paso: acuñar NFT BYAC para obtener el Token BYAC
Para pagar el Flash Loans, el atacante acuñará el NFT BYAC obtenido de vuelta en el Token BYAC. Al mismo tiempo, también acuñó su NFT número 1060 para obtener Tokens BYAC adicionales y pagar la tarifa del Flash Loan. Finalmente, venderá el Token BYAC restante, obteniendo aproximadamente 14 ETH.
situación de ganancias
El atacante finalmente obtuvo 60,564 tokens APE, con un valor de aproximadamente 500,000 dólares. El costo del ataque fue el precio del NFT número 106 (106 ETH) menos los 14 ETH obtenidos de la venta de tokens BYAC.
lección
Este evento expuso la vulnerabilidad de depender únicamente del estado instantáneo para las airdrops. Cuando el costo de manipular el estado es menor que la recompensa de la airdrop, se generan oportunidades de ataque. Esto nos recuerda que al diseñar mecanismos de airdrop, debemos considerar más factores y no solo la situación de tenencia de activos en un momento dado.
Este tipo de ataque que utiliza Flash Loans y estados instantáneos presenta nuevos desafíos para el diseño de seguridad de los proyectos de blockchain. Los proyectos futuros que diseñen mecanismos similares deben ser más cautelosos y considerar diversos escenarios de ataque posibles para garantizar la seguridad y equidad del sistema.