APE Coinエアドロップ機構の脆弱性によるアービトラージ事件分析

2022年3月17日、監視システムがAPE Coinに関する疑わしい取引活動を検出しました。詳細な分析の結果、これはAPE Coinのエアドロップメカニズムに関連する脆弱性があることが判明しました。

問題の核心は、APE Coinのエアドロップ資格の判定がユーザーが特定の時点でBYAC NFTを保有しているかどうかにのみ基づいていることです。このメカニズムは脆弱性があることが証明されており、攻撃者はフラッシュローンなどの方法で一時的に保有状態を操作することができます。

!

具体的な攻撃プロセスは以下の通りです。

1.攻撃の準備: 攻撃者は106 ETHで番号1060のBYAC NFTを購入し、それを攻撃契約に移転しました。

!

2. フラッシュローンを借りてBYAC NFTを交換する： 攻撃者はフラッシュローンを通じて大量のBYACトークンを借り入れ、その後これらのトークンを5つのBYAC NFT（番号はそれぞれ7594、8214、9915、8167、4755）に交換しました。

!

3. BYAC NFTを利用してエアドロップを受け取る： 攻撃者は6つのNFT（以前購入した1060号と新しく交換した5つを含む）を使用してエアドロップを受け取り、合計で60,564個のAPEトークンを獲得しました。

!

4. BYAC NFTを再びトークンに交換する： 融資を返済するために、攻撃者はすべてのBYAC NFT（自分の1060番を含む）をBYAC Tokenに再交換しました。このステップは、融資を返済するだけでなく、さらに14 ETHの利益を生み出しました。

!

最終的に、攻撃者は60,564個のAPEトークンを獲得し、約50万ドルの価値がある。コスト（106 ETHでNFTを購入し、14 ETHの売却利益を引く）を差し引いても、攻撃者は依然としてかなりの利益を得た。

!

この事件は、瞬時の状態に基づくエアドロップのリスクを浮き彫りにしました。操作された状態のコストがエアドロップの利益を下回ると、アービトラージの機会が生まれます。今後のエアドロップ活動において、プロジェクト側は同様の脆弱性が悪用されないように、より安全で公平な配布メカニズムを考慮する必要があります。

!

!

!