El 17 de marzo de 2022, una transacción sospechosa relacionada con APE Coin llamó la atención de la industria. Según los informes, algunos Bots de arbitraje utilizaron la estrategia de Flash Loans para obtener con éxito más de 60,000 APE Coin, cada uno valorado en aproximadamente 8 dólares.
Después de un análisis en profundidad, este evento está estrechamente relacionado con una vulnerabilidad en el mecanismo de airdrop de APE Coin. La elegibilidad para el airdrop de APE Coin se basa en si el usuario posee un NFT de BAYC en un momento específico, y este estado temporal puede ser manipulado por un atacante a través de Flash Loans. El atacante primero pide prestado un Token de BAYC, lo intercambia para obtener un NFT de BAYC, luego utiliza estos NFT para reclamar el airdrop de APE, y finalmente acuña el NFT de BAYC de nuevo a Token para devolver el Flash Loan. Este patrón de ataque es muy similar a los ataques de manipulación de precios basados en Flash Loans, ya que ambos aprovechan la capacidad de manipular el estado temporal de un activo.
Un proceso típico de ataque es el siguiente:
Preparativos de ataque:
Un atacante compró un NFT BAYC número 1060 en el mercado público por 106 ETH y lo transfirió al contrato de ataque.
Pedir un Flash Loan y cambiar por un NFT de BAYC:
El atacante tomó prestados grandes cantidades de tokens BAYC a través de Flash Loans, y luego convirtió estos tokens en 5 NFT de BAYC (con los números 7594, 8214, 9915, 8167 y 4755).
Utilizar NFT de BAYC para recibir recompensas de airdrop:
El atacante utilizó 6 NFT (incluyendo el número 1060 comprado anteriormente y las 5 recién canjeadas) para reclamar el airdrop, obteniendo un total de 60,564 tokens APE como recompensa.
Acuñación de NFT BAYC para recuperar Token BAYC:
Para pagar el Flash Loans, el atacante acuñará el NFT de BAYC que obtuvo de nuevo como Token de BAYC. Al mismo tiempo, también acuñará su NFT número 1060 para obtener Tokens de BAYC adicionales y pagar la tarifa del Flash Loans. Finalmente, venderá el resto de los Tokens de BAYC y obtendrá aproximadamente 14 ETH.
A través de esta serie de operaciones, el atacante finalmente obtuvo 60,564 tokens APE, con un valor de aproximadamente 500,000 dólares. El costo del ataque fue de 106 ETH (el costo de comprar el NFT número 106) menos los 14 ETH obtenidos por la venta del token BAYC.
Este evento expone los riesgos potenciales de realizar airdrops basados en estados instantáneos. Cuando el costo de manipular el estado es menor que la recompensa del airdrop, se crean oportunidades de arbitraje. Para futuras actividades de airdrop, los diseñadores deben ser más cautelosos y considerar más factores de seguridad para prevenir la aparición de vulnerabilidades similares.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
9 me gusta
Recompensa
9
5
Republicar
Compartir
Comentar
0/400
GlueGuy
· hace11h
Qué triste, incluso el Airdrop ha sido atrapado por fallos.
Ver originalesResponder0
0xTherapist
· hace11h
vulnerabilidad perro es realmente alcista
Ver originalesResponder0
AirdropHustler
· hace11h
Ay, realmente tienes una habilidad para sacar provecho de las situaciones.
Ver originalesResponder0
MetaDreamer
· hace12h
Cupones de clip, ¡dios mío!
Ver originalesResponder0
OnchainDetective
· hace12h
tomar a la gente por tonta también es un trabajo técnico.
APE Airdrop漏洞遭 Arbitraje攻击 Flash Loans策略 trampa 50万美元
El 17 de marzo de 2022, una transacción sospechosa relacionada con APE Coin llamó la atención de la industria. Según los informes, algunos Bots de arbitraje utilizaron la estrategia de Flash Loans para obtener con éxito más de 60,000 APE Coin, cada uno valorado en aproximadamente 8 dólares.
Después de un análisis en profundidad, este evento está estrechamente relacionado con una vulnerabilidad en el mecanismo de airdrop de APE Coin. La elegibilidad para el airdrop de APE Coin se basa en si el usuario posee un NFT de BAYC en un momento específico, y este estado temporal puede ser manipulado por un atacante a través de Flash Loans. El atacante primero pide prestado un Token de BAYC, lo intercambia para obtener un NFT de BAYC, luego utiliza estos NFT para reclamar el airdrop de APE, y finalmente acuña el NFT de BAYC de nuevo a Token para devolver el Flash Loan. Este patrón de ataque es muy similar a los ataques de manipulación de precios basados en Flash Loans, ya que ambos aprovechan la capacidad de manipular el estado temporal de un activo.
Un proceso típico de ataque es el siguiente:
A través de esta serie de operaciones, el atacante finalmente obtuvo 60,564 tokens APE, con un valor de aproximadamente 500,000 dólares. El costo del ataque fue de 106 ETH (el costo de comprar el NFT número 106) menos los 14 ETH obtenidos por la venta del token BAYC.
Este evento expone los riesgos potenciales de realizar airdrops basados en estados instantáneos. Cuando el costo de manipular el estado es menor que la recompensa del airdrop, se crean oportunidades de arbitraje. Para futuras actividades de airdrop, los diseñadores deben ser más cautelosos y considerar más factores de seguridad para prevenir la aparición de vulnerabilidades similares.