No dia 17 de março de 2022, uma transação suspeita envolvendo APE Coin chamou a atenção da indústria. Segundo relatos, um bot de arbitragem conseguiu, através do uso inteligente de empréstimos relâmpago, obter com sucesso mais de 60.000 APE Coin, cada um valendo cerca de 8 dólares.
Após uma análise aprofundada, especialistas apontaram que este evento está intimamente relacionado a uma vulnerabilidade no mecanismo de Airdrop do APE Coin. A elegibilidade para o Airdrop do APE Coin depende de o usuário possuir o NFT BYAC em um momento específico, e esse estado momentâneo pode ser manipulado por atacantes através de um empréstimo relâmpago. Os atacantes primeiro pegam emprestado o Token BYAC, em seguida trocam-no para obter o NFT BYAC, utilizando esses NFTs para reivindicar o Airdrop do APE, e por fim, fundem o NFT BYAC de volta em Token BYAC para devolver o empréstimo relâmpago. Este padrão de ataque é semelhante ao ataque de manipulação de preços baseado em empréstimos relâmpago, ambos explorando a característica de que o estado momentâneo de um ativo pode ser manipulado.
Aqui está o processo detalhado de um ataque típico:
Preparação para ataque:
O atacante comprou o NFT BYAC número 1060 por 106 ETH e transferiu-o para o contrato de ataque.
Pegar um empréstimo relâmpago e trocar por NFT BYAC:
O atacante pegou emprestado uma grande quantidade de tokens BYAC através de um empréstimo relâmpago e trocou-os por 5 NFTs BYAC (números 7594, 8214, 9915, 8167 e 4755).
Utilizar o NFT BYAC para receber Airdrop:
O atacante usou 6 NFTs (incluindo o número 1060 adquirido anteriormente e os 5 novos trocados) para reivindicar o Airdrop, obtendo um total de 60.564 tokens APE.
Mintar NFT BYAC de volta para Token BYAC:
Para pagar o empréstimo relâmpago, o atacante irá cunhar o NFT BYAC que obteve de volta como Token BYAC. Ao mesmo tempo, também irá cunhar seu NFT número 1060 para obter tokens BYAC adicionais para pagar a taxa do empréstimo relâmpago. Os tokens BYAC restantes foram vendidos, resultando em 14 ETH.
No final, o atacante lucrou 60.564 tokens APE, no valor de cerca de 500 mil dólares. O custo do ataque foi de 106 ETH (preço de compra do NFT número 106) menos 14 ETH (recebido pela venda do token BYAC).
Este evento revela os riscos potenciais de confiar apenas no estado instantâneo para a avaliação da elegibilidade para a Airdrop. Quando o custo de manipular o estado é inferior à recompensa do airdrop, surgem oportunidades de Arbitragem. No futuro, ao projetar mecanismos semelhantes, devem ser considerados critérios de avaliação mais abrangentes para aumentar a segurança e a equidade do sistema.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
14 Curtidas
Recompensa
14
4
Compartilhar
Comentário
0/400
BlockchainThinkTank
· 07-13 10:03
A gestão de vulnerabilidades ainda precisa ser melhorada, os novatos no mundo crypto devem ser cautelosos.
Ver originalResponder0
PuzzledScholar
· 07-13 07:05
armadilha cachorro se divertindo bem
Ver originalResponder0
WagmiWarrior
· 07-13 06:38
Estou com inveja. Para onde foram roubar vinte moedas?
A vulnerabilidade do airdrop de APE foi explorada, e o robô de arbitragem lucrou 50 mil dólares.
APE Coin Airdrop漏洞遭 Bots 利用
No dia 17 de março de 2022, uma transação suspeita envolvendo APE Coin chamou a atenção da indústria. Segundo relatos, um bot de arbitragem conseguiu, através do uso inteligente de empréstimos relâmpago, obter com sucesso mais de 60.000 APE Coin, cada um valendo cerca de 8 dólares.
Após uma análise aprofundada, especialistas apontaram que este evento está intimamente relacionado a uma vulnerabilidade no mecanismo de Airdrop do APE Coin. A elegibilidade para o Airdrop do APE Coin depende de o usuário possuir o NFT BYAC em um momento específico, e esse estado momentâneo pode ser manipulado por atacantes através de um empréstimo relâmpago. Os atacantes primeiro pegam emprestado o Token BYAC, em seguida trocam-no para obter o NFT BYAC, utilizando esses NFTs para reivindicar o Airdrop do APE, e por fim, fundem o NFT BYAC de volta em Token BYAC para devolver o empréstimo relâmpago. Este padrão de ataque é semelhante ao ataque de manipulação de preços baseado em empréstimos relâmpago, ambos explorando a característica de que o estado momentâneo de um ativo pode ser manipulado.
Aqui está o processo detalhado de um ataque típico:
No final, o atacante lucrou 60.564 tokens APE, no valor de cerca de 500 mil dólares. O custo do ataque foi de 106 ETH (preço de compra do NFT número 106) menos 14 ETH (recebido pela venda do token BYAC).
Este evento revela os riscos potenciais de confiar apenas no estado instantâneo para a avaliação da elegibilidade para a Airdrop. Quando o custo de manipular o estado é inferior à recompensa do airdrop, surgem oportunidades de Arbitragem. No futuro, ao projetar mecanismos semelhantes, devem ser considerados critérios de avaliação mais abrangentes para aumentar a segurança e a equidade do sistema.