Pada 17 Maret 2022, sebuah transaksi mencurigakan yang melibatkan APE Coin menarik perhatian luas. Menurut laporan pengguna media sosial, beberapa Bot arbitrase menggunakan Pinjaman Flash untuk mendapatkan lebih dari 60.000 APE Coin, masing-masing bernilai sekitar 8 dolar.
Setelah menganalisis, peristiwa ini terkait dengan adanya celah dalam mekanisme airdrop APE Coin. Kelayakan airdrop APE Coin tergantung pada apakah pengguna memiliki BYAC NFT pada saat tertentu. Namun, status sesaat ini dapat dimanipulasi. Penyerang memanfaatkan Pinjaman Flash untuk meminjam Token BYAC, kemudian menukarnya untuk mendapatkan BYAC NFT, menggunakan NFT ini untuk mengklaim airdrop APE, dan akhirnya mencetak kembali BYAC NFT menjadi Token BYAC untuk membayar Pinjaman Flash. Pola serangan ini sangat mirip dengan serangan manipulasi harga berbasis Pinjaman Flash, yang juga memanfaatkan karakteristik status aset yang dapat dikendalikan.
Berikut adalah analisis proses serangan perdagangan yang spesifik:
Langkah Pertama: Persiapan Serangan
Penyerang membeli NFT BYAC bernomor 1060 dari pasar terbuka dengan harga 106 ETH dan memindahkannya ke kontrak penyerangan.
Langkah kedua: meminjam Pinjaman Flash dan menukar NFT BYAC
Penyerang meminjam sejumlah besar Token BYAC melalui Pinjaman Flash dan menukarnya menjadi 5 NFT BYAC (dengan nomor 7594, 8214, 9915, 8167, dan 4755).
Langkah ketiga: menggunakan NFT BYAC untuk menerima hadiah airdrop
Penyerang menggunakan 6 NFT (termasuk nomor 1060 yang dibeli dan 5 yang ditukarkan) untuk mengklaim airdrop, dan berhasil mendapatkan 60.564 token APE sebagai hadiah.
Langkah keempat: Minting NFT BYAC untuk mendapatkan Token BYAC
Untuk membayar Pinjaman Flash, penyerang akan mencetak kembali NFT BYAC yang diperoleh menjadi Token BYAC. Pada saat yang sama, dia juga mencetak NFT nomor 1060 miliknya untuk mendapatkan pembayaran tambahan Token BYAC untuk biaya Pinjaman Flash. Akhirnya, sisa Token BYAC dijual, menghasilkan sekitar 14 ETH.
Situasi Keuntungan
Penyerang akhirnya mendapatkan 60.564 token APE, bernilai sekitar 500.000 dolar AS. Biaya serangan adalah harga NFT nomor 106 (106 ETH) dikurangi 14 ETH yang diperoleh dari penjualan Token BYAC.
Pelajaran
Peristiwa ini mengungkapkan kerentanan bergantung pada status instan untuk airdrop. Ketika biaya manipulasi status lebih rendah daripada hadiah airdrop, akan muncul peluang serangan. Ini mengingatkan kita bahwa dalam merancang mekanisme airdrop, kita perlu mempertimbangkan lebih banyak faktor, dan bukan hanya keadaan kepemilikan aset pada satu momen.
Metode serangan yang memanfaatkan Pinjaman Flash dan status instan ini memberikan tantangan baru bagi desain keamanan proyek blockchain. Proyek-proyek di masa depan perlu lebih berhati-hati dalam merancang mekanisme serupa, mempertimbangkan berbagai skenario serangan yang mungkin terjadi, untuk memastikan keamanan dan keadilan sistem.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
16 Suka
Hadiah
16
4
Posting ulang
Bagikan
Komentar
0/400
AirdropSkeptic
· 14jam yang lalu
Sudah ada yang Kupon Klip lagi, tidak heran.
Lihat AsliBalas0
TokenTherapist
· 14jam yang lalu
48w dolar sudah terbang begitu saja...
Lihat AsliBalas0
DeFiChef
· 14jam yang lalu
Datang lagi untuk mendapatkan sesuatu secara gratis, ya?
Vulnérabilitas Airdrop APE dieksploitasi dalam Arbitrase Pinjaman Flash menghasilkan 60564 koin APE
Pada 17 Maret 2022, sebuah transaksi mencurigakan yang melibatkan APE Coin menarik perhatian luas. Menurut laporan pengguna media sosial, beberapa Bot arbitrase menggunakan Pinjaman Flash untuk mendapatkan lebih dari 60.000 APE Coin, masing-masing bernilai sekitar 8 dolar.
Setelah menganalisis, peristiwa ini terkait dengan adanya celah dalam mekanisme airdrop APE Coin. Kelayakan airdrop APE Coin tergantung pada apakah pengguna memiliki BYAC NFT pada saat tertentu. Namun, status sesaat ini dapat dimanipulasi. Penyerang memanfaatkan Pinjaman Flash untuk meminjam Token BYAC, kemudian menukarnya untuk mendapatkan BYAC NFT, menggunakan NFT ini untuk mengklaim airdrop APE, dan akhirnya mencetak kembali BYAC NFT menjadi Token BYAC untuk membayar Pinjaman Flash. Pola serangan ini sangat mirip dengan serangan manipulasi harga berbasis Pinjaman Flash, yang juga memanfaatkan karakteristik status aset yang dapat dikendalikan.
Berikut adalah analisis proses serangan perdagangan yang spesifik:
Langkah Pertama: Persiapan Serangan
Penyerang membeli NFT BYAC bernomor 1060 dari pasar terbuka dengan harga 106 ETH dan memindahkannya ke kontrak penyerangan.
Langkah kedua: meminjam Pinjaman Flash dan menukar NFT BYAC
Penyerang meminjam sejumlah besar Token BYAC melalui Pinjaman Flash dan menukarnya menjadi 5 NFT BYAC (dengan nomor 7594, 8214, 9915, 8167, dan 4755).
Langkah ketiga: menggunakan NFT BYAC untuk menerima hadiah airdrop
Penyerang menggunakan 6 NFT (termasuk nomor 1060 yang dibeli dan 5 yang ditukarkan) untuk mengklaim airdrop, dan berhasil mendapatkan 60.564 token APE sebagai hadiah.
Langkah keempat: Minting NFT BYAC untuk mendapatkan Token BYAC
Untuk membayar Pinjaman Flash, penyerang akan mencetak kembali NFT BYAC yang diperoleh menjadi Token BYAC. Pada saat yang sama, dia juga mencetak NFT nomor 1060 miliknya untuk mendapatkan pembayaran tambahan Token BYAC untuk biaya Pinjaman Flash. Akhirnya, sisa Token BYAC dijual, menghasilkan sekitar 14 ETH.
Situasi Keuntungan
Penyerang akhirnya mendapatkan 60.564 token APE, bernilai sekitar 500.000 dolar AS. Biaya serangan adalah harga NFT nomor 106 (106 ETH) dikurangi 14 ETH yang diperoleh dari penjualan Token BYAC.
Pelajaran
Peristiwa ini mengungkapkan kerentanan bergantung pada status instan untuk airdrop. Ketika biaya manipulasi status lebih rendah daripada hadiah airdrop, akan muncul peluang serangan. Ini mengingatkan kita bahwa dalam merancang mekanisme airdrop, kita perlu mempertimbangkan lebih banyak faktor, dan bukan hanya keadaan kepemilikan aset pada satu momen.
Metode serangan yang memanfaatkan Pinjaman Flash dan status instan ini memberikan tantangan baru bagi desain keamanan proyek blockchain. Proyek-proyek di masa depan perlu lebih berhati-hati dalam merancang mekanisme serupa, mempertimbangkan berbagai skenario serangan yang mungkin terjadi, untuk memastikan keamanan dan keadilan sistem.