Le 17 mars 2022, une transaction suspecte impliquant l'APE Coin a attiré l'attention du secteur. Il semblerait qu'un robot d'arbitrage ait réussi à obtenir plus de 60 000 APE Coin en utilisant habilement un prêt flash, chaque pièce valant environ 8 dollars.
Après une analyse approfondie, les experts soulignent que cet événement est étroitement lié à une vulnérabilité dans le mécanisme d'Airdrop d'APE Coin. L'éligibilité à l'Airdrop d'APE Coin dépend de la détention par l'utilisateur d'un NFT BYAC à un moment donné, et cet état instantané peut être manipulé par un attaquant via un prêt flash. L'attaquant emprunte d'abord des tokens BYAC, puis les échange pour obtenir un NFT BYAC, utilise ces NFT pour réclamer l'Airdrop d'APE, et enfin, frappe les NFT BYAC en retour pour rembourser le prêt flash. Ce modèle d'attaque présente une similitude avec les attaques de manipulation des prix basées sur des prêts flash, car il exploite la possibilité de manipulation de l'état instantané d'un actif.
Voici le processus détaillé d'une attaque typique :
Préparation à l'attaque :
L'attaquant a acheté le NFT BYAC numéro 1060 au prix de 106 ETH et l'a transféré au contrat d'attaque.
Emprunter un prêt flash et échanger un NFT BYAC :
L'attaquant a emprunté une grande quantité de jetons BYAC via un prêt éclair et les a échangés contre 5 NFT BYAC (numéros respectifs 7594, 8214, 9915, 8167 et 4755).
Utiliser le NFT BYAC pour recevoir l'Airdrop :
L'attaquant a utilisé 6 NFT (y compris le numéro 1060 acheté précédemment et les 5 nouveaux échangés) pour réclamer un Airdrop, obtenant au total 60 564 tokens APE.
Frappage de NFT BYAC en Token BYAC :
Pour rembourser le prêt éclair, l'attaquant va renflouer le NFT BYAC obtenu en le réémétant en Token BYAC. En même temps, il va également frapper son NFT numéro 1060 pour obtenir des Tokens BYAC supplémentaires afin de payer les frais de prêt éclair. Les Tokens BYAC restants sont vendus, échangés contre 14 ETH.
Finalement, l'attaquant a réalisé un profit de 60 564 tokens APE, d'une valeur d'environ 500 000 dollars. Le coût de l'attaque était de 106 ETH (prix d'achat du NFT n° 1060) moins 14 ETH (revenu de la vente des tokens BYAC).
Cet événement révèle les risques potentiels de se fier uniquement à l'état instantané pour déterminer l'éligibilité à l'Airdrop. Lorsqu'il est moins coûteux de manipuler l'état que de bénéficier de la récompense de l'Airdrop, des opportunités d'Arbitrage se présentent. À l'avenir, lors de la conception de mécanismes similaires, il convient de prendre en compte des critères de détermination plus complets pour renforcer la sécurité et l'équité du système.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
14 J'aime
Récompense
14
4
Reposter
Partager
Commentaire
0/400
BlockchainThinkTank
· 07-13 10:03
La gestion des vulnérabilités doit encore être améliorée, les nouveaux venus dans l'univers de la cryptomonnaie doivent être prudents.
Voir l'originalRépondre0
PuzzledScholar
· 07-13 07:05
piège chien joue bien啊
Voir l'originalRépondre0
WagmiWarrior
· 07-13 06:38
J'ai envie de savoir où je peux voler vingt jetons.
La faille d'airdrop d'APE a été exploitée, les bots d'arbitrage ont réalisé un profit de 500 000 dollars.
APE Coin Airdrop漏洞遭 Arbitrage Bots 利用
Le 17 mars 2022, une transaction suspecte impliquant l'APE Coin a attiré l'attention du secteur. Il semblerait qu'un robot d'arbitrage ait réussi à obtenir plus de 60 000 APE Coin en utilisant habilement un prêt flash, chaque pièce valant environ 8 dollars.
Après une analyse approfondie, les experts soulignent que cet événement est étroitement lié à une vulnérabilité dans le mécanisme d'Airdrop d'APE Coin. L'éligibilité à l'Airdrop d'APE Coin dépend de la détention par l'utilisateur d'un NFT BYAC à un moment donné, et cet état instantané peut être manipulé par un attaquant via un prêt flash. L'attaquant emprunte d'abord des tokens BYAC, puis les échange pour obtenir un NFT BYAC, utilise ces NFT pour réclamer l'Airdrop d'APE, et enfin, frappe les NFT BYAC en retour pour rembourser le prêt flash. Ce modèle d'attaque présente une similitude avec les attaques de manipulation des prix basées sur des prêts flash, car il exploite la possibilité de manipulation de l'état instantané d'un actif.
Voici le processus détaillé d'une attaque typique :
Finalement, l'attaquant a réalisé un profit de 60 564 tokens APE, d'une valeur d'environ 500 000 dollars. Le coût de l'attaque était de 106 ETH (prix d'achat du NFT n° 1060) moins 14 ETH (revenu de la vente des tokens BYAC).
Cet événement révèle les risques potentiels de se fier uniquement à l'état instantané pour déterminer l'éligibilité à l'Airdrop. Lorsqu'il est moins coûteux de manipuler l'état que de bénéficier de la récompense de l'Airdrop, des opportunités d'Arbitrage se présentent. À l'avenir, lors de la conception de mécanismes similaires, il convient de prendre en compte des critères de détermination plus complets pour renforcer la sécurité et l'équité du système.