Аналіз події арбітражу через вразливість механізму аірдропу APE Coin
17 березня 2022 року система спостереження виявила підозрілу активність транзакцій за участю APE Coin. Після глибокого аналізу було виявлено, що це було пов'язано з вразливістю механізму аірдропу APE Coin.
Суть проблеми полягає в тому, що визначення кваліфікації для аірдропу APE Coin базується лише на тому, чи має користувач BYAC NFT у певний момент часу. Ця механіка виявилася вразливою, оскільки зловмисники можуть тимчасово маніпулювати статусом володіння за допомогою таких методів, як флеш-кредит.
!
Конкретний процес атаки виглядає так:
Підготовка до атаки:
Атакуючий купив NFT BYAC номер 1060 за 106 ETH і перевів його на атакувальний контракт.
!
Позичити блискавичний кредит і обміняти на BYAC NFT:
Зловмисник позичає велику кількість токенів BYAC через флеш-кредит, а потім обмінює ці токени на 5 NFT BYAC (номери 7594, 8214, 9915, 8167 і 4755).
!
Використання BYAC NFT для отримання Аірдропу:
Атакувальник використав 6 NFT (включаючи раніше куплений №1060 та нові обміняні 5) для отримання Аірдропу, загалом отримавши 60,564 токенів APE.
!
Знову обміняти BYAC NFT на токен:
Щоб погасити闪电贷, атакуючий перетворив всі BYAC NFT (включаючи свій 1060 номер) назад на BYAC Token. Цей крок не лише погасив кредит, а й приніс додаткові 14 ETH прибутку.
!
В кінці, зловмисник отримав 60,564 токенів APE, вартістю приблизно 500 тисяч доларів. Віднявши витрати (106 ETH на покупку NFT мінус 14 ETH доходу від продажу), зловмисник все ще отримав значний прибуток.
!
Ця подія підкреслила ризики аірдропів, що базуються на миттєвому стані. Коли вартість маніпуляції зі станом нижча, ніж вигоди від аірдропу, виникає можливість арбітражу. Для майбутніх аірдроп-активностей проектам слід подумати про більш безпечні та справедливі механізми розподілу, щоб запобігти використанню подібних вразливостей.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Вразливість Аірдропу APE Coin: Хакер заробив 50 тисяч доларів.
Аналіз події арбітражу через вразливість механізму аірдропу APE Coin
17 березня 2022 року система спостереження виявила підозрілу активність транзакцій за участю APE Coin. Після глибокого аналізу було виявлено, що це було пов'язано з вразливістю механізму аірдропу APE Coin.
Суть проблеми полягає в тому, що визначення кваліфікації для аірдропу APE Coin базується лише на тому, чи має користувач BYAC NFT у певний момент часу. Ця механіка виявилася вразливою, оскільки зловмисники можуть тимчасово маніпулювати статусом володіння за допомогою таких методів, як флеш-кредит.
!
Конкретний процес атаки виглядає так:
!
!
!
!
В кінці, зловмисник отримав 60,564 токенів APE, вартістю приблизно 500 тисяч доларів. Віднявши витрати (106 ETH на покупку NFT мінус 14 ETH доходу від продажу), зловмисник все ще отримав значний прибуток.
!
Ця подія підкреслила ризики аірдропів, що базуються на миттєвому стані. Коли вартість маніпуляції зі станом нижча, ніж вигоди від аірдропу, виникає можливість арбітражу. Для майбутніх аірдроп-активностей проектам слід подумати про більш безпечні та справедливі механізми розподілу, щоб запобігти використанню подібних вразливостей.
!
!
!