2022年3月17日、APE Coinに関する疑わしい取引が広く注目を集めました。ソーシャルメディアユーザーの報告によると、いくつかのアービトラージボットがフラッシュローンを通じて6万枚以上のAPE Coinを取得し、1枚あたりの価値は約8ドルでした。! [](https://img-cdn.gateio.im/social/moments-3ecce4480bccdb9f906c0493fad1b7c3)分析の結果、この事件はAPE Coinのエアドロップメカニズムに存在する脆弱性に関連しています。APE Coinのエアドロップ資格は、特定の時点でユーザーがBYAC NFTを保有しているかどうかに依存しています。しかし、この瞬時の状態は操作可能です。攻撃者はフラッシュローンを利用してBYAC Tokenを借入れ、その後BYAC NFTを取得するために交換し、これらのNFTを利用してAPEのエアドロップを請求し、最終的にBYAC NFTをBYAC Tokenに鋳造してフラッシュローンを返済します。この攻撃モデルはフラッシュローンに基づく価格操作攻撃と非常に似ており、資産の瞬時の状態が操作可能である特性を利用しています。! [](https://img-cdn.gateio.im/social/moments-f2f8baa413caba7830498a4dd409b507)以下は具体的な攻撃取引のプロセス分析です:### ステップ 1: 攻撃に備える攻撃者は106 ETHの価格で公開市場から1060番のBYAC NFTを購入し、それを攻撃契約に移しました。! [](https://img-cdn.gateio.im/social/moments-1307b16a3efc87b2a28686635eb387f0)### 第二步:フラッシュローンを借り入れ、BYAC NFTを交換する攻撃者はフラッシュローンを通じて大量のBYACトークンを借り入れ、5つのBYAC NFT(番号はそれぞれ7594、8214、9915、8167、4755)と交換しました。! [](https://img-cdn.gateio.im/social/moments-943872edecab5f53adaf2fd0096ca0b1)### 第三歩:BYAC NFTを使用してエアドロップ報酬を受け取る攻撃者は6つのNFT(購入した1060号と交換した5つを含む)を使用してエアドロップを申請し、合計60,564個のAPEトークンを報酬として獲得しました。! [](https://img-cdn.gateio.im/social/moments-2a88d960c13e09d75102a8ef40809dd8)###ステップ4:BYACトークンを取得するためのBYACNFTのミントフラッシュローンを返済するために、攻撃者は取得したBYAC NFTをBYAC Tokenに鋳造しました。同時に、彼は自分の1060番のNFTも鋳造し、追加のBYAC Tokenを得てフラッシュローンの手数料を支払いました。最後に、残りのBYAC Tokenを売却し、約14 ETHを得ました。! [](https://img-cdn.gateio.im/social/moments-15d6b7a15aeab8118fa836f8a8a974d3)###収益性攻撃者は最終的に60,564個のAPEトークンを獲得し、約50万ドルの価値となりました。攻撃コストは106号NFTの価格(106 ETH)からBYACトークンの販売で得られた14 ETHを引いたものです。! [](https://img-cdn.gateio.im/social/moments-19e7e9b7bf5d5dbcea0b52f20939b3cb)###レッスンこの出来事は、瞬時の状態にのみ依存してエアドロップを行うことの脆弱性を暴露しました。状態を操作するコストがエアドロップの報酬を下回ると、攻撃の機会が生まれます。これは、エアドロップメカニズムを設計する際に、特定の瞬間の資産保有状況だけでなく、より多くの要因を考慮する必要があることを思い出させます。! [](https://img-cdn.gateio.im/social/moments-87998d1f87b3eef11e605218318247c8)このフラッシュローンと瞬時の状態を利用した攻撃手法は、ブロックチェーンプロジェクトの安全設計に新たな課題を提起しています。今後のプロジェクトは、同様のメカニズムを設計する際に、より慎重にさまざまな攻撃シナリオを考慮し、システムの安全性と公平性を確保する必要があります。! [](https://img-cdn.gateio.im/social/moments-69334bb11681f3d6f752e91e73291e71)
APEエアドロップの脆弱性が利用され、フラッシュローンアービトラージで60564枚APE通貨が得られました。
2022年3月17日、APE Coinに関する疑わしい取引が広く注目を集めました。ソーシャルメディアユーザーの報告によると、いくつかのアービトラージボットがフラッシュローンを通じて6万枚以上のAPE Coinを取得し、1枚あたりの価値は約8ドルでした。
!
分析の結果、この事件はAPE Coinのエアドロップメカニズムに存在する脆弱性に関連しています。APE Coinのエアドロップ資格は、特定の時点でユーザーがBYAC NFTを保有しているかどうかに依存しています。しかし、この瞬時の状態は操作可能です。攻撃者はフラッシュローンを利用してBYAC Tokenを借入れ、その後BYAC NFTを取得するために交換し、これらのNFTを利用してAPEのエアドロップを請求し、最終的にBYAC NFTをBYAC Tokenに鋳造してフラッシュローンを返済します。この攻撃モデルはフラッシュローンに基づく価格操作攻撃と非常に似ており、資産の瞬時の状態が操作可能である特性を利用しています。
!
以下は具体的な攻撃取引のプロセス分析です:
ステップ 1: 攻撃に備える
攻撃者は106 ETHの価格で公開市場から1060番のBYAC NFTを購入し、それを攻撃契約に移しました。
!
第二步:フラッシュローンを借り入れ、BYAC NFTを交換する
攻撃者はフラッシュローンを通じて大量のBYACトークンを借り入れ、5つのBYAC NFT(番号はそれぞれ7594、8214、9915、8167、4755)と交換しました。
!
第三歩:BYAC NFTを使用してエアドロップ報酬を受け取る
攻撃者は6つのNFT(購入した1060号と交換した5つを含む)を使用してエアドロップを申請し、合計60,564個のAPEトークンを報酬として獲得しました。
!
###ステップ4:BYACトークンを取得するためのBYACNFTのミント
フラッシュローンを返済するために、攻撃者は取得したBYAC NFTをBYAC Tokenに鋳造しました。同時に、彼は自分の1060番のNFTも鋳造し、追加のBYAC Tokenを得てフラッシュローンの手数料を支払いました。最後に、残りのBYAC Tokenを売却し、約14 ETHを得ました。
!
###収益性
攻撃者は最終的に60,564個のAPEトークンを獲得し、約50万ドルの価値となりました。攻撃コストは106号NFTの価格(106 ETH)からBYACトークンの販売で得られた14 ETHを引いたものです。
!
###レッスン
この出来事は、瞬時の状態にのみ依存してエアドロップを行うことの脆弱性を暴露しました。状態を操作するコストがエアドロップの報酬を下回ると、攻撃の機会が生まれます。これは、エアドロップメカニズムを設計する際に、特定の瞬間の資産保有状況だけでなく、より多くの要因を考慮する必要があることを思い出させます。
!
このフラッシュローンと瞬時の状態を利用した攻撃手法は、ブロックチェーンプロジェクトの安全設計に新たな課題を提起しています。今後のプロジェクトは、同様のメカニズムを設計する際に、より慎重にさまざまな攻撃シナリオを考慮し、システムの安全性と公平性を確保する必要があります。
!