17 березня 2022 року підозріла угода, пов'язана з APE Coin, привернула широку увагу. Згідно з повідомленнями користувачів соціальних мереж, деякі арбітражні Боти отримали більше 60 000 монет APE через Термінові позики, кожна з яких коштувала близько 8 доларів.
!
Після аналізу, цей інцидент пов'язаний з вразливістю механізму аірдропу APE Coin. Кваліфікація для аірдропу APE Coin залежить від того, чи має користувач BYAC NFT в певний момент часу. Однак цей миттєвий стан може бути маніпульований. Зловмисники використовують Термінові позики, щоб позичити BYAC Token, потім обмінюють його на BYAC NFT, використовуючи ці NFT для отримання аірдропу APE, а потім знову мінують BYAC NFT в BYAC Token для погашення Термінових позик. Цей тип атаки дуже схожий на атаки маніпуляції цінами на основі Термінових позик, де також використовується можливість маніпулювання миттєвим станом активів.
!
Ось аналіз процесу конкретної атакуючої угоди:
Перший крок: підготовка до атаки
Атакуючий купив NFT BYAC номер 1060 на відкритому ринку за ціною 106 ETH і перемістив його в контракт атаки.
!
Другий крок: взяти Термінові позики та обміняти на BYAC NFT
Зловмисник через Термінові позики позичив велику кількість токенів BYAC і обміняв їх на 5 NFT BYAC (номери 7594, 8214, 9915, 8167 та 4755).
!
Третій крок: отримайте аірдроп винагороду за допомогою BYAC NFT
Атакуючі використали 6 NFT (включаючи куплений номер 1060 та 5 обміняних) для отримання аеродропу, отримавши в результаті 60,564 токенів APE як винагороду.
!
Четвертий крок: карбування BYAC NFT для отримання BYAC Token
Щоб повернути термінові позики, зловмисник переведе отримані BYAC NFT назад в BYAC Token. Одночасно він також випустить свій 1060-й NFT, щоб отримати додаткові BYAC Token для сплати комісії за термінові позики. Нарешті, він продасть залишилися BYAC Token і отримає близько 14 ETH.
!
Ситуація з прибутком
Нападник зрештою отримав 60,564 токенів APE, вартістю приблизно 500,000 доларів США. Вартість атаки становила ціна NFT №106 (106 ETH) мінус 14 ETH, отримані від продажу токенів BYAC.
!
уроки
Ця подія виявила вразливість, пов'язану з покладанням лише на миттєвий стан для проведення аерозольних роздач. Коли вартість маніпуляції зі станом є нижчою за винагороду за аерозоль, виникає можливість атаки. Це нагадує нам про необхідність врахування більшої кількості факторів при розробці механізму аерозольних роздач, а не лише стану володіння активами в певний момент.
!
Цей спосіб атаки, що використовує Термінові позики та миттєві стани, ставить нові виклики для безпеки дизайну блокчейн-проєктів. Майбутні проєкти повинні бути більш обережними при розробці подібних механізмів, враховуючи різні можливі сценарії атак, щоб забезпечити безпеку та справедливість системи.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Використано вразливість аірдропу APE для здійснення флеш-атаки з метою арбітражу 60564 монет APE
17 березня 2022 року підозріла угода, пов'язана з APE Coin, привернула широку увагу. Згідно з повідомленнями користувачів соціальних мереж, деякі арбітражні Боти отримали більше 60 000 монет APE через Термінові позики, кожна з яких коштувала близько 8 доларів.
!
Після аналізу, цей інцидент пов'язаний з вразливістю механізму аірдропу APE Coin. Кваліфікація для аірдропу APE Coin залежить від того, чи має користувач BYAC NFT в певний момент часу. Однак цей миттєвий стан може бути маніпульований. Зловмисники використовують Термінові позики, щоб позичити BYAC Token, потім обмінюють його на BYAC NFT, використовуючи ці NFT для отримання аірдропу APE, а потім знову мінують BYAC NFT в BYAC Token для погашення Термінових позик. Цей тип атаки дуже схожий на атаки маніпуляції цінами на основі Термінових позик, де також використовується можливість маніпулювання миттєвим станом активів.
!
Ось аналіз процесу конкретної атакуючої угоди:
Перший крок: підготовка до атаки
Атакуючий купив NFT BYAC номер 1060 на відкритому ринку за ціною 106 ETH і перемістив його в контракт атаки.
!
Другий крок: взяти Термінові позики та обміняти на BYAC NFT
Зловмисник через Термінові позики позичив велику кількість токенів BYAC і обміняв їх на 5 NFT BYAC (номери 7594, 8214, 9915, 8167 та 4755).
!
Третій крок: отримайте аірдроп винагороду за допомогою BYAC NFT
Атакуючі використали 6 NFT (включаючи куплений номер 1060 та 5 обміняних) для отримання аеродропу, отримавши в результаті 60,564 токенів APE як винагороду.
!
Четвертий крок: карбування BYAC NFT для отримання BYAC Token
Щоб повернути термінові позики, зловмисник переведе отримані BYAC NFT назад в BYAC Token. Одночасно він також випустить свій 1060-й NFT, щоб отримати додаткові BYAC Token для сплати комісії за термінові позики. Нарешті, він продасть залишилися BYAC Token і отримає близько 14 ETH.
!
Ситуація з прибутком
Нападник зрештою отримав 60,564 токенів APE, вартістю приблизно 500,000 доларів США. Вартість атаки становила ціна NFT №106 (106 ETH) мінус 14 ETH, отримані від продажу токенів BYAC.
!
уроки
Ця подія виявила вразливість, пов'язану з покладанням лише на миттєвий стан для проведення аерозольних роздач. Коли вартість маніпуляції зі станом є нижчою за винагороду за аерозоль, виникає можливість атаки. Це нагадує нам про необхідність врахування більшої кількості факторів при розробці механізму аерозольних роздач, а не лише стану володіння активами в певний момент.
!
Цей спосіб атаки, що використовує Термінові позики та миттєві стани, ставить нові виклики для безпеки дизайну блокчейн-проєктів. Майбутні проєкти повинні бути більш обережними при розробці подібних механізмів, враховуючи різні можливі сценарії атак, щоб забезпечити безпеку та справедливість системи.
!