Le 17 mars 2022, une transaction suspecte impliquant APE Coin a suscité une large attention. Selon les rapports des utilisateurs des réseaux sociaux, certains Bots d'arbitrage ont obtenu plus de 60 000 APE Coin via des Prêts Flash, chaque pièce valant environ 8 dollars.
Après analyse, cet événement est lié à une faille dans le mécanisme de distribution d'airdrop de l'APE Coin. L'éligibilité à l'airdrop de l'APE Coin dépend du fait que l'utilisateur détienne ou non un NFT BYAC à un moment donné. Cependant, cet état instantané peut être manipulé. Les attaquants utilisent des Prêts Flash pour emprunter des tokens BYAC, puis échangent pour obtenir un NFT BYAC, utilisant ces NFT pour réclamer l'airdrop de l'APE, et enfin, retransformant le NFT BYAC en token BYAC pour rembourser le Prêt Flash. Ce mode d'attaque est très similaire aux attaques de manipulation de prix basées sur des Prêts Flash, exploitant toutes deux la caractéristique que l'état instantané des actifs peut être manipulé.
Voici une analyse du processus d'un trade d'attaque spécifique :
Première étape : préparation à l'attaque
L'attaquant a acheté un NFT BYAC numéroté 1060 sur le marché public au prix de 106 ETH et l'a transféré dans le contrat d'attaque.
Deuxième étape : emprunter des Prêts Flash et échanger des NFT BYAC
L'attaquant a emprunté une grande quantité de jetons BYAC grâce à des Prêts Flash et les a échangés contre 5 NFT BYAC (numéros 7594, 8214, 9915, 8167 et 4755).
Troisième étape : utilisez le NFT BYAC pour recevoir la récompense de l'airdrop.
L'attaquant a utilisé 6 NFT (y compris le numéro 1060 acheté et 5 échangés) pour réclamer l'airdrop, obtenant un total de 60 564 tokens APE en récompense.
Quatrième étape : forger le NFT BYAC pour obtenir le Token BYAC
Pour rembourser le Prêt Flash, l'attaquant a minté le NFT BYAC obtenu en retour du Token BYAC. En même temps, il a également minté son NFT numéro 1060 pour obtenir des Tokens BYAC supplémentaires afin de payer les frais de Prêt Flash. Enfin, il a vendu les Tokens BYAC restants pour obtenir environ 14 ETH.
situation de profit
L'attaquant a finalement obtenu 60 564 tokens APE, d'une valeur d'environ 500 000 dollars. Le coût de l'attaque est le prix du NFT numéro 1060 (106 ETH) moins les 14 ETH obtenus par la vente du token BYAC.
leçon
Cet événement a révélé la vulnérabilité de se fier uniquement à l'état instantané pour les airdrops. Lorsque le coût de manipulation de l'état est inférieur à la récompense de l'airdrop, cela crée des opportunités d'attaque. Cela nous rappelle qu'il est nécessaire de prendre en compte davantage de facteurs lors de la conception des mécanismes d'airdrop, et pas seulement la situation de détention d'actifs à un moment donné.
Ce type d'attaque utilisant des Prêts Flash et des états instantanés pose de nouveaux défis à la conception de la sécurité des projets blockchain. Les projets futurs doivent être plus prudents lors de la conception de mécanismes similaires, en tenant compte de divers scénarios d'attaque possibles, afin d'assurer la sécurité et l'équité du système.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
16 J'aime
Récompense
16
5
Reposter
Partager
Commentaire
0/400
RugPullSurvivor
· Il y a 11h
piège de chien est vraiment l'art.
Voir l'originalRépondre0
AirdropSkeptic
· 08-09 06:58
Encore quelqu'un qui coupe les coupons, ça ne me surprend plus.
Voir l'originalRépondre0
TokenTherapist
· 08-09 06:53
48w dollars se sont envolés comme ça...
Voir l'originalRépondre0
DeFiChef
· 08-09 06:52
On revient pour profiter gratuitement, n'est-ce pas ?
Voir l'originalRépondre0
MetaReckt
· 08-09 06:38
La Blockchain doit encore reposer sur les smart contracts.
La vulnérabilité de l'Airdrop APE a été exploitée par un flash loan attack pour un arbitrage de 60564 jetons APE.
Le 17 mars 2022, une transaction suspecte impliquant APE Coin a suscité une large attention. Selon les rapports des utilisateurs des réseaux sociaux, certains Bots d'arbitrage ont obtenu plus de 60 000 APE Coin via des Prêts Flash, chaque pièce valant environ 8 dollars.
Après analyse, cet événement est lié à une faille dans le mécanisme de distribution d'airdrop de l'APE Coin. L'éligibilité à l'airdrop de l'APE Coin dépend du fait que l'utilisateur détienne ou non un NFT BYAC à un moment donné. Cependant, cet état instantané peut être manipulé. Les attaquants utilisent des Prêts Flash pour emprunter des tokens BYAC, puis échangent pour obtenir un NFT BYAC, utilisant ces NFT pour réclamer l'airdrop de l'APE, et enfin, retransformant le NFT BYAC en token BYAC pour rembourser le Prêt Flash. Ce mode d'attaque est très similaire aux attaques de manipulation de prix basées sur des Prêts Flash, exploitant toutes deux la caractéristique que l'état instantané des actifs peut être manipulé.
Voici une analyse du processus d'un trade d'attaque spécifique :
Première étape : préparation à l'attaque
L'attaquant a acheté un NFT BYAC numéroté 1060 sur le marché public au prix de 106 ETH et l'a transféré dans le contrat d'attaque.
Deuxième étape : emprunter des Prêts Flash et échanger des NFT BYAC
L'attaquant a emprunté une grande quantité de jetons BYAC grâce à des Prêts Flash et les a échangés contre 5 NFT BYAC (numéros 7594, 8214, 9915, 8167 et 4755).
Troisième étape : utilisez le NFT BYAC pour recevoir la récompense de l'airdrop.
L'attaquant a utilisé 6 NFT (y compris le numéro 1060 acheté et 5 échangés) pour réclamer l'airdrop, obtenant un total de 60 564 tokens APE en récompense.
Quatrième étape : forger le NFT BYAC pour obtenir le Token BYAC
Pour rembourser le Prêt Flash, l'attaquant a minté le NFT BYAC obtenu en retour du Token BYAC. En même temps, il a également minté son NFT numéro 1060 pour obtenir des Tokens BYAC supplémentaires afin de payer les frais de Prêt Flash. Enfin, il a vendu les Tokens BYAC restants pour obtenir environ 14 ETH.
situation de profit
L'attaquant a finalement obtenu 60 564 tokens APE, d'une valeur d'environ 500 000 dollars. Le coût de l'attaque est le prix du NFT numéro 1060 (106 ETH) moins les 14 ETH obtenus par la vente du token BYAC.
leçon
Cet événement a révélé la vulnérabilité de se fier uniquement à l'état instantané pour les airdrops. Lorsque le coût de manipulation de l'état est inférieur à la récompense de l'airdrop, cela crée des opportunités d'attaque. Cela nous rappelle qu'il est nécessaire de prendre en compte davantage de facteurs lors de la conception des mécanismes d'airdrop, et pas seulement la situation de détention d'actifs à un moment donné.
Ce type d'attaque utilisant des Prêts Flash et des états instantanés pose de nouveaux défis à la conception de la sécurité des projets blockchain. Les projets futurs doivent être plus prudents lors de la conception de mécanismes similaires, en tenant compte de divers scénarios d'attaque possibles, afin d'assurer la sécurité et l'équité du système.