El 17 de marzo de 2022, una transacción sospechosa relacionada con APE Coin llamó la atención generalizada. Se informa que algunos Bots de arbitraje utilizaron Flash Loans para obtener más de 60,000 APE Coin, cada uno con un valor de aproximadamente 8 dólares.
Un análisis profundo indica que este evento está estrechamente relacionado con una vulnerabilidad en el mecanismo de airdrop de APE Coin. La determinación de la elegibilidad para el airdrop se basa en si el usuario posee un NFT de BYAC en un momento específico, y este estado momentáneo puede ser manipulado. Los atacantes toman prestados tokens de BYAC a través de Flash Loans, los intercambian por NFT de BYAC y luego utilizan estos NFT para reclamar el airdrop de APE, para finalmente acuñar nuevamente los NFT en tokens para pagar el préstamo. Este método es bastante similar a los patrones de ataque que manipulan los precios de los activos utilizando Flash Loans.
Los siguientes son los pasos detallados de una transacción de ataque típica:
Preparación del ataque:
El atacante compró un NFT BYAC con el número 1060 a un precio de 106 ETH y lo transfirió al contrato de ataque.
Pedir un Flash Loan y canjear un NFT de BYAC:
El atacante pidió prestado una gran cantidad de tokens BYAC a través de Flash Loans y luego intercambió para obtener 5 NFT de BYAC (con números 7594, 8214, 9915, 8167 y 4755).
Utilizar el NFT BYAC para reclamar el airdrop:
El atacante utilizó 6 NFT (incluyendo el número 1060 que compró anteriormente y los 5 nuevos canjeados) para reclamar el airdrop, obteniendo un total de 60,564 tokens APE.
Reacondicionar el NFT BYAC para obtener Token:
Para pagar el Flash Loans, el atacante volvió a acuñar todos los NFT de BYAC (incluido el número 1060) como Token BYAC. Los Tokens sobrantes se vendieron, obteniendo aproximadamente 14 ETH.
Finalmente, el atacante obtuvo 60,564 tokens APE, por un valor de aproximadamente 500,000 dólares. El costo del ataque fue de 106 ETH por la compra del NFT número 106 menos los 14 ETH obtenidos por la venta del token BYAC.
Este evento revela los riesgos potenciales de realizar airdrops basados en el estado instantáneo. Cuando el costo de manipular el estado es menor que la recompensa del airdrop, pueden surgir oportunidades de arbitraje. Para prevenir situaciones similares, el diseño del mecanismo de airdrop debería considerar estados de posesión más a largo plazo y estables, en lugar de depender únicamente de una instantánea en un momento dado.
Este evento también recuerda a los desarrolladores de proyectos DeFi que necesitan diseñar e implementar mecanismos de airdrop con más cuidado para evitar ser aprovechados por actores maliciosos. Al mismo tiempo, también destaca el efecto de doble filo de los Flash Loans en el ecosistema DeFi, que puede proporcionar liquidez, pero también puede ser utilizado para la manipulación del mercado.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Se revela una vulnerabilidad en el Airdrop de APE moneda, ganancias de 500,000 dólares a través de Arbitraje usando Flash Loans.
El 17 de marzo de 2022, una transacción sospechosa relacionada con APE Coin llamó la atención generalizada. Se informa que algunos Bots de arbitraje utilizaron Flash Loans para obtener más de 60,000 APE Coin, cada uno con un valor de aproximadamente 8 dólares.
Un análisis profundo indica que este evento está estrechamente relacionado con una vulnerabilidad en el mecanismo de airdrop de APE Coin. La determinación de la elegibilidad para el airdrop se basa en si el usuario posee un NFT de BYAC en un momento específico, y este estado momentáneo puede ser manipulado. Los atacantes toman prestados tokens de BYAC a través de Flash Loans, los intercambian por NFT de BYAC y luego utilizan estos NFT para reclamar el airdrop de APE, para finalmente acuñar nuevamente los NFT en tokens para pagar el préstamo. Este método es bastante similar a los patrones de ataque que manipulan los precios de los activos utilizando Flash Loans.
Los siguientes son los pasos detallados de una transacción de ataque típica:
Preparación del ataque: El atacante compró un NFT BYAC con el número 1060 a un precio de 106 ETH y lo transfirió al contrato de ataque.
Pedir un Flash Loan y canjear un NFT de BYAC: El atacante pidió prestado una gran cantidad de tokens BYAC a través de Flash Loans y luego intercambió para obtener 5 NFT de BYAC (con números 7594, 8214, 9915, 8167 y 4755).
Utilizar el NFT BYAC para reclamar el airdrop: El atacante utilizó 6 NFT (incluyendo el número 1060 que compró anteriormente y los 5 nuevos canjeados) para reclamar el airdrop, obteniendo un total de 60,564 tokens APE.
Reacondicionar el NFT BYAC para obtener Token: Para pagar el Flash Loans, el atacante volvió a acuñar todos los NFT de BYAC (incluido el número 1060) como Token BYAC. Los Tokens sobrantes se vendieron, obteniendo aproximadamente 14 ETH.
Finalmente, el atacante obtuvo 60,564 tokens APE, por un valor de aproximadamente 500,000 dólares. El costo del ataque fue de 106 ETH por la compra del NFT número 106 menos los 14 ETH obtenidos por la venta del token BYAC.
Este evento revela los riesgos potenciales de realizar airdrops basados en el estado instantáneo. Cuando el costo de manipular el estado es menor que la recompensa del airdrop, pueden surgir oportunidades de arbitraje. Para prevenir situaciones similares, el diseño del mecanismo de airdrop debería considerar estados de posesión más a largo plazo y estables, en lugar de depender únicamente de una instantánea en un momento dado.
Este evento también recuerda a los desarrolladores de proyectos DeFi que necesitan diseñar e implementar mecanismos de airdrop con más cuidado para evitar ser aprovechados por actores maliciosos. Al mismo tiempo, también destaca el efecto de doble filo de los Flash Loans en el ecosistema DeFi, que puede proporcionar liquidez, pero también puede ser utilizado para la manipulación del mercado.