Вразливість Аірдропу APE Coin експлуатувалася Арбітражними Ботами
17 березня 2022 року підозріла угода, що стосується APE Coin, привернула увагу галузі. Відомо, що певний арбітражний бот за допомогою майстерного використання флеш-кредитів успішно отримав понад 60 000 монет APE, кожна з яких коштує приблизно 8 доларів.
!
Після глибокого аналізу експерти вказали, що ця подія тісно пов'язана з вразливістю в механізмі аірдропу APE Coin. Кваліфікація для аірдропу APE Coin залежить від того, чи має користувач BYAC NFT в певний момент часу, і цей миттєвий стан може бути маніпульований зловмисниками через флеш-кредити. Зловмисники спочатку позичають токени BYAC, після чого обмінюють їх на BYAC NFT, використовуючи ці NFT для отримання аірдропу APE, а потім карбують BYAC NFT назад у токени BYAC, щоб погасити флеш-кредит. Ця модель атаки схожа на атаки з маніпуляцією цінами на основі флеш-кредитів, в обох випадках використовується властивість миттєвого стану певного активу, що може бути контрольоване.
!
Ось детальний процес типової атаки:
Підготовка до атаки:
Зловмисник купив NFT BYAC з номером 1060 за 106 ETH і передав його до атакуючого контракту.
!
Взяти в борг миттєвий кредит та обміняти на BYAC NFT:
Атакуючий позичає велику кількість токенів BYAC через Flash Loan та обмінює їх на 5 NFT BYAC (номери 7594, 8214, 9915, 8167 та 4755).
!
Використовуйте BYAC NFT для отримання Аірдропу:
Нападник використав 6 NFT (включаючи раніше придбаний 1060 номер і нові обміняні 5) для отримання Аірдропу, загалом отримавши 60,564 токенів APE.
!
Карбування BYAC NFT в BYAC Token:
Щоб погасити闪电贷, зловмисник переробить отримані BYAC NFT на BYAC Token. Одночасно він також створить свій NFT номер 1060, щоб отримати додаткові BYAC Token для сплати комісії за闪电贷. Залишки BYAC Token були продані за 14 ETH.
!
В результаті зловмисник отримав 60,564 токенів APE, вартістю приблизно 500 000 доларів США. Вартість атаки склала 106 ETH (ціна покупки NFT № 1060) мінус 14 ETH (виручка від продажу токенів BYAC).
!
Ця подія виявила потенційні ризики, пов'язані з покладанням лише на миттєвий стан для визначення кваліфікації аірдропу. Коли вартість маніпулювання станом є нижчою за винагороду за аірдроп, виникають можливості для арбітражу. У майбутньому при розробці подібних механізмів слід враховувати більш комплексні критерії оцінки для підвищення безпеки та справедливості системи.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
14 лайків
Нагородити
14
4
Поділіться
Прокоментувати
0/400
BlockchainThinkTank
· 07-13 10:03
Управління вразливостями ще потребує покращення, новачки в криптосвіті повинні бути обережними.
Переглянути оригіналвідповісти на0
PuzzledScholar
· 07-13 07:05
пастка собак добре грає
Переглянути оригіналвідповісти на0
WagmiWarrior
· 07-13 06:38
Кисло, куди вкрасти двадцять монет?
Переглянути оригіналвідповісти на0
SchrodingersFOMO
· 07-13 06:37
Брати участь у безкоштовних можливостях можуть всі~
Вразливість аірдропу APE монета була використана, арбітражні боти отримали прибуток у 500000 доларів.
Вразливість Аірдропу APE Coin експлуатувалася Арбітражними Ботами
17 березня 2022 року підозріла угода, що стосується APE Coin, привернула увагу галузі. Відомо, що певний арбітражний бот за допомогою майстерного використання флеш-кредитів успішно отримав понад 60 000 монет APE, кожна з яких коштує приблизно 8 доларів.
!
Після глибокого аналізу експерти вказали, що ця подія тісно пов'язана з вразливістю в механізмі аірдропу APE Coin. Кваліфікація для аірдропу APE Coin залежить від того, чи має користувач BYAC NFT в певний момент часу, і цей миттєвий стан може бути маніпульований зловмисниками через флеш-кредити. Зловмисники спочатку позичають токени BYAC, після чого обмінюють їх на BYAC NFT, використовуючи ці NFT для отримання аірдропу APE, а потім карбують BYAC NFT назад у токени BYAC, щоб погасити флеш-кредит. Ця модель атаки схожа на атаки з маніпуляцією цінами на основі флеш-кредитів, в обох випадках використовується властивість миттєвого стану певного активу, що може бути контрольоване.
!
Ось детальний процес типової атаки:
!
!
!
!
В результаті зловмисник отримав 60,564 токенів APE, вартістю приблизно 500 000 доларів США. Вартість атаки склала 106 ETH (ціна покупки NFT № 1060) мінус 14 ETH (виручка від продажу токенів BYAC).
!
Ця подія виявила потенційні ризики, пов'язані з покладанням лише на миттєвий стан для визначення кваліфікації аірдропу. Коли вартість маніпулювання станом є нижчою за винагороду за аірдроп, виникають можливості для арбітражу. У майбутньому при розробці подібних механізмів слід враховувати більш комплексні критерії оцінки для підвищення безпеки та справедливості системи.
!
!