Pada 17 Maret 2022, sebuah transaksi mencurigakan terkait APE Coin menarik perhatian luas. Dilaporkan bahwa beberapa bot arbitrase memanfaatkan pinjaman flash untuk mendapatkan lebih dari 60.000 APE Coin, masing-masing senilai sekitar 8 dolar.
Analisis mendalam menunjukkan bahwa peristiwa ini terkait erat dengan celah dalam mekanisme airdrop APE Coin. Kelayakan untuk airdrop ditentukan berdasarkan apakah pengguna memiliki BYAC NFT pada saat tertentu, dan status sekejap ini dapat dimanipulasi. Penyerang meminjam BYAC Token melalui Pinjaman Flash, menukarnya menjadi BYAC NFT, kemudian menggunakan NFT ini untuk mengklaim airdrop APE, dan akhirnya mencetak ulang NFT menjadi Token untuk membayar kembali pinjaman. Metode ini mirip dengan pola serangan yang menggunakan Pinjaman Flash untuk memanipulasi harga aset.
Berikut adalah langkah-langkah rinci dari transaksi serangan yang tipikal:
Persiapan serangan:
Penyerang membeli NFT BYAC dengan nomor 1060 seharga 106 ETH dan mentransfernya ke kontrak serangan.
Meminjam Pinjaman Flash dan menukarkan NFT BYAC:
Penyerang meminjam sejumlah besar Token BYAC melalui Pinjaman Flash, kemudian menukarnya untuk mendapatkan 5 NFT BYAC (dengan nomor 7594, 8214, 9915, 8167, dan 4755).
Menggunakan NFT BYAC untuk mengklaim airdrop:
Penyerang menggunakan 6 NFT (termasuk yang sebelumnya dibeli nomor 1060 dan 5 yang baru ditukarkan) untuk mengklaim airdrop, dan berhasil mendapatkan 60.564 token APE.
Mencetak ulang NFT BYAC untuk mendapatkan Token:
Untuk membayar Pinjaman Flash, penyerang mencetak ulang semua NFT BYAC (termasuk nomor 1060) menjadi Token BYAC. Token yang berlebih dijual, menghasilkan sekitar 14 ETH.
Akhirnya, penyerang memperoleh 60.564 token APE, senilai sekitar 500.000 dolar AS. Biaya serangan adalah 106 ETH untuk membeli NFT nomor 106 dikurangi 14 ETH yang diperoleh dari penjualan Token BYAC.
Peristiwa ini mengungkapkan risiko potensial dari airdrop yang didasarkan pada status instan. Ketika biaya manipulasi status lebih rendah dari imbalan airdrop, peluang arbitrase dapat muncul. Untuk mencegah situasi serupa, desain mekanisme airdrop harus mempertimbangkan status kepemilikan yang lebih jangka panjang dan stabil, bukan hanya bergantung pada snapshot pada saat tertentu.
Peristiwa ini juga mengingatkan pengembang proyek DeFi untuk lebih berhati-hati dalam merancang dan menerapkan mekanisme airdrop, guna mencegah penyalahgunaan oleh pelaku jahat. Pada saat yang sama, ini juga menyoroti efek dua sisi dari Pinjaman Flash dalam ekosistem DeFi, yang dapat menyediakan likuiditas tetapi juga dapat digunakan untuk manipulasi pasar.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Airdrop APE koin bocor, Pinjaman Flash Arbitrase memperoleh keuntungan 50 juta dolar AS
Pada 17 Maret 2022, sebuah transaksi mencurigakan terkait APE Coin menarik perhatian luas. Dilaporkan bahwa beberapa bot arbitrase memanfaatkan pinjaman flash untuk mendapatkan lebih dari 60.000 APE Coin, masing-masing senilai sekitar 8 dolar.
Analisis mendalam menunjukkan bahwa peristiwa ini terkait erat dengan celah dalam mekanisme airdrop APE Coin. Kelayakan untuk airdrop ditentukan berdasarkan apakah pengguna memiliki BYAC NFT pada saat tertentu, dan status sekejap ini dapat dimanipulasi. Penyerang meminjam BYAC Token melalui Pinjaman Flash, menukarnya menjadi BYAC NFT, kemudian menggunakan NFT ini untuk mengklaim airdrop APE, dan akhirnya mencetak ulang NFT menjadi Token untuk membayar kembali pinjaman. Metode ini mirip dengan pola serangan yang menggunakan Pinjaman Flash untuk memanipulasi harga aset.
Berikut adalah langkah-langkah rinci dari transaksi serangan yang tipikal:
Persiapan serangan: Penyerang membeli NFT BYAC dengan nomor 1060 seharga 106 ETH dan mentransfernya ke kontrak serangan.
Meminjam Pinjaman Flash dan menukarkan NFT BYAC: Penyerang meminjam sejumlah besar Token BYAC melalui Pinjaman Flash, kemudian menukarnya untuk mendapatkan 5 NFT BYAC (dengan nomor 7594, 8214, 9915, 8167, dan 4755).
Menggunakan NFT BYAC untuk mengklaim airdrop: Penyerang menggunakan 6 NFT (termasuk yang sebelumnya dibeli nomor 1060 dan 5 yang baru ditukarkan) untuk mengklaim airdrop, dan berhasil mendapatkan 60.564 token APE.
Mencetak ulang NFT BYAC untuk mendapatkan Token: Untuk membayar Pinjaman Flash, penyerang mencetak ulang semua NFT BYAC (termasuk nomor 1060) menjadi Token BYAC. Token yang berlebih dijual, menghasilkan sekitar 14 ETH.
Akhirnya, penyerang memperoleh 60.564 token APE, senilai sekitar 500.000 dolar AS. Biaya serangan adalah 106 ETH untuk membeli NFT nomor 106 dikurangi 14 ETH yang diperoleh dari penjualan Token BYAC.
Peristiwa ini mengungkapkan risiko potensial dari airdrop yang didasarkan pada status instan. Ketika biaya manipulasi status lebih rendah dari imbalan airdrop, peluang arbitrase dapat muncul. Untuk mencegah situasi serupa, desain mekanisme airdrop harus mempertimbangkan status kepemilikan yang lebih jangka panjang dan stabil, bukan hanya bergantung pada snapshot pada saat tertentu.
Peristiwa ini juga mengingatkan pengembang proyek DeFi untuk lebih berhati-hati dalam merancang dan menerapkan mekanisme airdrop, guna mencegah penyalahgunaan oleh pelaku jahat. Pada saat yang sama, ini juga menyoroti efek dua sisi dari Pinjaman Flash dalam ekosistem DeFi, yang dapat menyediakan likuiditas tetapi juga dapat digunakan untuk manipulasi pasar.