No dia 17 de março de 2022, uma transação suspeita relacionada ao APE Coin chamou a atenção generalizada. Segundo relatos, alguns Bots de arbitragem utilizaram Empréstimos Flash para obter mais de 60.000 APE Coin, cada um valendo cerca de 8 dólares.
Análises aprofundadas indicam que este evento está intimamente relacionado com a vulnerabilidade no mecanismo de airdrop do APE Coin. A elegibilidade para o airdrop é baseada em se o usuário possui um NFT BYAC em um determinado momento, e esse estado momentâneo pode ser manipulado. O atacante tomou emprestado o Token BYAC através de um Empréstimos Flash, trocou por um NFT BYAC, e depois utilizou esses NFTs para reivindicar o airdrop do APE, finalmente reacuando os NFTs de volta em Tokens para pagar o empréstimo. Esta técnica é bastante semelhante ao padrão de ataque que manipula preços de ativos usando Empréstimos Flash.
Abaixo estão os passos detalhados de uma transação de ataque típica:
Preparação para ataque:
O atacante comprou um NFT BYAC de número 1060 por 106 ETH e transferiu-o para o contrato de ataque.
Empréstimos Flash e troca de NFT BYAC:
Os atacantes pegaram emprestado uma grande quantidade de tokens BYAC através de empréstimos flash e, em seguida, trocaram para obter 5 NFTs BYAC (numerados 7594, 8214, 9915, 8167 e 4755).
Utilizar o NFT BYAC para reivindicar o airdrop:
O atacante usou 6 NFTs (incluindo o número 1060 comprado anteriormente e 5 novos trocados) para reivindicar o airdrop, recebendo um total de 60.564 tokens APE.
Recriar NFT BYAC para obter Token:
Para pagar o Empréstimos Flash, o atacante reemitiu todos os NFTs BYAC (incluindo o número 1060) como Token BYAC. Os Tokens em excesso foram vendidos, obtendo cerca de 14 ETH.
No final, o atacante lucrou 60.564 tokens APE, no valor de cerca de 500.000 dólares. O custo do ataque foi a compra do NFT número 106 por 106 ETH menos os 14 ETH obtidos com a venda do token BYAC.
Este evento revela os riscos potenciais associados a airdrops baseados em estados instantâneos. Quando o custo de manipulação do estado é inferior à recompensa do airdrop, podem surgir oportunidades de arbitragem. Para evitar situações semelhantes, o design do mecanismo de airdrop deve considerar estados de posse mais a longo prazo e mais estáveis, em vez de depender apenas de uma captura de um único momento.
Este evento também reitera que os desenvolvedores de projetos DeFi precisam projetar e implementar mecanismos de airdrop de forma mais cautelosa, a fim de evitar serem explorados por agentes maliciosos. Ao mesmo tempo, também destaca o efeito de espada de dois gumes dos Empréstimos Flash no ecossistema DeFi, que pode fornecer liquidez, mas também pode ser usado para manipulação de mercado.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
10 Curtidas
Recompensa
10
6
Repostar
Compartilhar
Comentário
0/400
alpha_leaker
· 08-13 18:12
Isso deu prejuízo?
Ver originalResponder0
ImpermanentPhilosopher
· 08-12 19:00
Oh, Empréstimos Flash estão claros agora.
Ver originalResponder0
UncleWhale
· 08-12 18:58
Ai, fui preso novamente.
Ver originalResponder0
CryptoMotivator
· 08-12 18:57
Armadilha tanto dinheiro e ainda não puxar o tapete
Exposição de vulnerabilidade no APE Airdrop, lucro de 50 mil dólares com Arbitragem de Empréstimos Flash
No dia 17 de março de 2022, uma transação suspeita relacionada ao APE Coin chamou a atenção generalizada. Segundo relatos, alguns Bots de arbitragem utilizaram Empréstimos Flash para obter mais de 60.000 APE Coin, cada um valendo cerca de 8 dólares.
Análises aprofundadas indicam que este evento está intimamente relacionado com a vulnerabilidade no mecanismo de airdrop do APE Coin. A elegibilidade para o airdrop é baseada em se o usuário possui um NFT BYAC em um determinado momento, e esse estado momentâneo pode ser manipulado. O atacante tomou emprestado o Token BYAC através de um Empréstimos Flash, trocou por um NFT BYAC, e depois utilizou esses NFTs para reivindicar o airdrop do APE, finalmente reacuando os NFTs de volta em Tokens para pagar o empréstimo. Esta técnica é bastante semelhante ao padrão de ataque que manipula preços de ativos usando Empréstimos Flash.
Abaixo estão os passos detalhados de uma transação de ataque típica:
Preparação para ataque: O atacante comprou um NFT BYAC de número 1060 por 106 ETH e transferiu-o para o contrato de ataque.
Empréstimos Flash e troca de NFT BYAC: Os atacantes pegaram emprestado uma grande quantidade de tokens BYAC através de empréstimos flash e, em seguida, trocaram para obter 5 NFTs BYAC (numerados 7594, 8214, 9915, 8167 e 4755).
Utilizar o NFT BYAC para reivindicar o airdrop: O atacante usou 6 NFTs (incluindo o número 1060 comprado anteriormente e 5 novos trocados) para reivindicar o airdrop, recebendo um total de 60.564 tokens APE.
Recriar NFT BYAC para obter Token: Para pagar o Empréstimos Flash, o atacante reemitiu todos os NFTs BYAC (incluindo o número 1060) como Token BYAC. Os Tokens em excesso foram vendidos, obtendo cerca de 14 ETH.
No final, o atacante lucrou 60.564 tokens APE, no valor de cerca de 500.000 dólares. O custo do ataque foi a compra do NFT número 106 por 106 ETH menos os 14 ETH obtidos com a venda do token BYAC.
Este evento revela os riscos potenciais associados a airdrops baseados em estados instantâneos. Quando o custo de manipulação do estado é inferior à recompensa do airdrop, podem surgir oportunidades de arbitragem. Para evitar situações semelhantes, o design do mecanismo de airdrop deve considerar estados de posse mais a longo prazo e mais estáveis, em vez de depender apenas de uma captura de um único momento.
Este evento também reitera que os desenvolvedores de projetos DeFi precisam projetar e implementar mecanismos de airdrop de forma mais cautelosa, a fim de evitar serem explorados por agentes maliciosos. Ao mesmo tempo, também destaca o efeito de espada de dois gumes dos Empréstimos Flash no ecossistema DeFi, que pode fornecer liquidez, mas também pode ser usado para manipulação de mercado.