No dia 17 de março de 2022, uma transação suspeita envolvendo APE Coin chamou a atenção do setor. Segundo relatos, alguns Bots de arbitragem utilizaram a estratégia de Empréstimos Flash para obter com sucesso mais de 60 mil APE Coin, cada uma valendo cerca de 8 dólares.
Após uma análise aprofundada, este evento está intimamente relacionado com a vulnerabilidade no mecanismo de airdrop da APE Coin. A elegibilidade para o airdrop da APE Coin é baseada em se o usuário possui um NFT BAYC em um momento específico, e esse estado momentâneo pode ser manipulado por atacantes através de Empréstimos Flash. O atacante primeiro empresta o Token BAYC, troca para obter o NFT BAYC, e em seguida usa esses NFTs para reivindicar o airdrop da APE, por fim, cunha o NFT BAYC de volta para Token para reembolsar o Empréstimos Flash. Este padrão de ataque é muito semelhante aos ataques de manipulação de preços baseados em Empréstimos Flash, ambos aproveitando a característica de que o estado momentâneo de um ativo pode ser manipulado.
Um fluxo de ataque típico é o seguinte:
Preparação para o ataque:
O atacante adquiriu um NFT BAYC de número 1060 no mercado público por 106 ETH e transferiu-o para o contrato de ataque.
Empréstimos Flash e troca de NFT BAYC:
O atacante emprestou uma grande quantidade de Tokens BAYC através de Empréstimos Flash, e depois trocou esses Tokens por 5 NFTs BAYC (com os números 7594, 8214, 9915, 8167 e 4755).
Utilizar o NFT BAYC para receber recompensas de airdrop:
Os atacantes usaram 6 NFTs (incluindo o número 1060 comprado anteriormente e as 5 recém-trocadas) para reivindicar o airdrop, recebendo um total de 60.564 tokens APE como recompensa.
Cunhar NFT BAYC para recuperar Token BAYC:
Para pagar o Empréstimos Flash, o atacante irá recalcular o NFT BAYC obtido como Token BAYC. Ao mesmo tempo, ele também irá cunhar seu NFT número 1060 para obter Tokens BAYC adicionais para pagar a taxa do Empréstimos Flash. Por fim, os Tokens BAYC restantes serão vendidos, obtendo cerca de 14 ETH.
Através desta série de operações, o atacante acabou por obter 60.564 tokens APE, no valor de cerca de 50 mil dólares. O custo do ataque foi de 106 ETH (o custo da compra do NFT número 106) menos os 14 ETH obtidos com a venda do Token BAYC.
Este evento expôs os riscos potenciais de realizar airdrops com base em estados momentâneos. Quando o custo de manipular o estado é inferior à recompensa do airdrop, surgem oportunidades de arbitragem. Para futuras atividades de airdrop, os projetistas precisam ser mais cautelosos e considerar mais fatores de segurança para evitar a ocorrência de falhas semelhantes.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
9 Curtidas
Recompensa
9
5
Repostar
Compartilhar
Comentário
0/400
GlueGuy
· 21h atrás
Tão miserável, até o airdrop foi pegado com um bug.
Ver originalResponder0
0xTherapist
· 21h atrás
vulnerabilidade é realmente bull
Ver originalResponder0
AirdropHustler
· 21h atrás
Ai, realmente ele tem uma mão na pesca de esquemas.
Ver originalResponder0
MetaDreamer
· 21h atrás
Cupões de Recorte, oh grande mestre!
Ver originalResponder0
OnchainDetective
· 21h atrás
fazer as pessoas de parvas também é um trabalho técnico.
APE Airdrop漏洞遭 Arbitragem攻击 Empréstimos Flash策略 armadilha 50万美元
No dia 17 de março de 2022, uma transação suspeita envolvendo APE Coin chamou a atenção do setor. Segundo relatos, alguns Bots de arbitragem utilizaram a estratégia de Empréstimos Flash para obter com sucesso mais de 60 mil APE Coin, cada uma valendo cerca de 8 dólares.
Após uma análise aprofundada, este evento está intimamente relacionado com a vulnerabilidade no mecanismo de airdrop da APE Coin. A elegibilidade para o airdrop da APE Coin é baseada em se o usuário possui um NFT BAYC em um momento específico, e esse estado momentâneo pode ser manipulado por atacantes através de Empréstimos Flash. O atacante primeiro empresta o Token BAYC, troca para obter o NFT BAYC, e em seguida usa esses NFTs para reivindicar o airdrop da APE, por fim, cunha o NFT BAYC de volta para Token para reembolsar o Empréstimos Flash. Este padrão de ataque é muito semelhante aos ataques de manipulação de preços baseados em Empréstimos Flash, ambos aproveitando a característica de que o estado momentâneo de um ativo pode ser manipulado.
Um fluxo de ataque típico é o seguinte:
Através desta série de operações, o atacante acabou por obter 60.564 tokens APE, no valor de cerca de 50 mil dólares. O custo do ataque foi de 106 ETH (o custo da compra do NFT número 106) menos os 14 ETH obtidos com a venda do Token BAYC.
Este evento expôs os riscos potenciais de realizar airdrops com base em estados momentâneos. Quando o custo de manipular o estado é inferior à recompensa do airdrop, surgem oportunidades de arbitragem. Para futuras atividades de airdrop, os projetistas precisam ser mais cautelosos e considerar mais fatores de segurança para evitar a ocorrência de falhas semelhantes.