Ngày 17 tháng 3 năm 2022, một giao dịch nghi vấn liên quan đến APE Coin đã thu hút sự chú ý trong ngành. Theo báo cáo, một số Bots kinh doanh chênh lệch giá đã sử dụng chiến lược Khoản vay nhanh, thành công lấy được hơn 60.000 APE Coin, mỗi Coin trị giá khoảng 8 đô la.
Sau khi phân tích sâu sắc, sự kiện này có liên quan chặt chẽ đến lỗ hổng trong cơ chế airdrop của APE Coin. Điều kiện đủ để nhận airdrop của APE Coin dựa vào việc người dùng có nắm giữ BAYC NFT vào một thời điểm nhất định hay không, và trạng thái thoáng qua này có thể bị kẻ tấn công thao túng thông qua khoản vay nhanh. Kẻ tấn công trước tiên vay BAYC Token, đổi lấy BAYC NFT, sau đó sử dụng những NFT này để yêu cầu airdrop APE, cuối cùng là đúc lại BAYC NFT thành Token để trả khoản vay nhanh. Mô hình tấn công này rất giống với các cuộc tấn công thao túng giá dựa trên khoản vay nhanh, đều tận dụng đặc điểm trạng thái thoáng qua của một tài sản có thể bị thao túng.
Một quy trình tấn công điển hình như sau:
Chuẩn bị tấn công:
Kẻ tấn công đã mua một NFT BAYC số 1060 từ thị trường công khai với giá 106 ETH và chuyển nó đến hợp đồng tấn công.
Vay khoản vay nhanh và đổi lấy NFT BAYC:
Kẻ tấn công đã vay một lượng lớn Token BAYC thông qua khoản vay nhanh, sau đó đổi những Token này thành 5 NFT BAYC (có số hiệu lần lượt là 7594, 8214, 9915, 8167 và 4755).
Sử dụng NFT BAYC để nhận phần thưởng airdrop:
Kẻ tấn công đã sử dụng 6 NFT (bao gồm số 1060 đã mua trước đó và 5 NFT vừa đổi) để nhận airdrop, tổng cộng nhận được 60,564 mã thông báo APE.
Đúc NFT BAYC thu hồi Token BAYC:
Để trả khoản vay nhanh, kẻ tấn công đã đúc lại NFT BAYC đã nhận được thành Token BAYC. Đồng thời, hắn cũng sẽ đúc NFT số 1060 của mình để nhận thêm Token BAYC trả phí giao dịch khoản vay nhanh. Cuối cùng, bán số Token BAYC còn lại, thu về khoảng 14 ETH.
Thông qua một loạt các thao tác này, kẻ tấn công cuối cùng đã nhận được 60,564 mã thông báo APE, trị giá khoảng 500,000 đô la. Chi phí tấn công là 106 ETH (chi phí mua NFT số 106) trừ đi 14 ETH thu được từ việc bán mã thông báo BAYC.
Sự kiện này đã phơi bày những rủi ro tiềm ẩn của việc airdrop dựa trên trạng thái tức thời. Khi chi phí thao túng trạng thái thấp hơn phần thưởng airdrop, sẽ xuất hiện cơ hội kinh doanh chênh lệch giá. Đối với các hoạt động airdrop trong tương lai, các nhà thiết kế cần phải thận trọng hơn, xem xét nhiều yếu tố an toàn hơn để ngăn chặn sự xuất hiện của những lỗ hổng tương tự.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
9 thích
Phần thưởng
9
5
Đăng lại
Chia sẻ
Bình luận
0/400
GlueGuy
· 21giờ trước
Thật thảm hại, ngay cả Airdrop cũng bị bắt lỗi.
Xem bản gốcTrả lời0
0xTherapist
· 21giờ trước
Lỗ hổng thật là bull
Xem bản gốcTrả lời0
AirdropHustler
· 21giờ trước
Ôi trời, thực sự có tay nghề trong việc lách luật đấy.
APE Airdrop lỗ hổng bị tấn công Kinh doanh chênh lệch giá Khoản vay nhanh chiến lược rút tiền 50 triệu USD
Ngày 17 tháng 3 năm 2022, một giao dịch nghi vấn liên quan đến APE Coin đã thu hút sự chú ý trong ngành. Theo báo cáo, một số Bots kinh doanh chênh lệch giá đã sử dụng chiến lược Khoản vay nhanh, thành công lấy được hơn 60.000 APE Coin, mỗi Coin trị giá khoảng 8 đô la.
Sau khi phân tích sâu sắc, sự kiện này có liên quan chặt chẽ đến lỗ hổng trong cơ chế airdrop của APE Coin. Điều kiện đủ để nhận airdrop của APE Coin dựa vào việc người dùng có nắm giữ BAYC NFT vào một thời điểm nhất định hay không, và trạng thái thoáng qua này có thể bị kẻ tấn công thao túng thông qua khoản vay nhanh. Kẻ tấn công trước tiên vay BAYC Token, đổi lấy BAYC NFT, sau đó sử dụng những NFT này để yêu cầu airdrop APE, cuối cùng là đúc lại BAYC NFT thành Token để trả khoản vay nhanh. Mô hình tấn công này rất giống với các cuộc tấn công thao túng giá dựa trên khoản vay nhanh, đều tận dụng đặc điểm trạng thái thoáng qua của một tài sản có thể bị thao túng.
Một quy trình tấn công điển hình như sau:
Thông qua một loạt các thao tác này, kẻ tấn công cuối cùng đã nhận được 60,564 mã thông báo APE, trị giá khoảng 500,000 đô la. Chi phí tấn công là 106 ETH (chi phí mua NFT số 106) trừ đi 14 ETH thu được từ việc bán mã thông báo BAYC.
Sự kiện này đã phơi bày những rủi ro tiềm ẩn của việc airdrop dựa trên trạng thái tức thời. Khi chi phí thao túng trạng thái thấp hơn phần thưởng airdrop, sẽ xuất hiện cơ hội kinh doanh chênh lệch giá. Đối với các hoạt động airdrop trong tương lai, các nhà thiết kế cần phải thận trọng hơn, xem xét nhiều yếu tố an toàn hơn để ngăn chặn sự xuất hiện của những lỗ hổng tương tự.