Vào ngày 17 tháng 3 năm 2022, một giao dịch nghi vấn liên quan đến APE Coin đã thu hút sự chú ý rộng rãi. Theo báo cáo, một số Bots đã sử dụng Khoản vay nhanh để có được hơn 60.000 APE Coin, mỗi đồng trị giá khoảng 8 đô la.
Phân tích sâu cho thấy, sự kiện này có liên quan chặt chẽ đến lỗ hổng trong cơ chế airdrop của APE Coin. Điều kiện đủ để tham gia airdrop dựa trên việc người dùng có nắm giữ BYAC NFT vào một thời điểm cụ thể hay không, và trạng thái tức thời này có thể bị thao túng. Kẻ tấn công đã vay BYAC Token thông qua khoản vay nhanh, đổi nó thành BYAC NFT, sau đó sử dụng những NFT này để yêu cầu airdrop APE, và cuối cùng đúc lại NFT thành Token để hoàn trả khoản vay. Phương pháp này khá giống với mô hình tấn công thao túng giá tài sản bằng khoản vay nhanh.
Dưới đây là các bước chi tiết cho một giao dịch tấn công điển hình:
Chuẩn bị tấn công:
Kẻ tấn công đã mua một NFT BYAC có số hiệu 1060 với giá 106 ETH và chuyển nó đến hợp đồng tấn công.
Vay khoản vay nhanh và đổi lấy NFT BYAC:
Kẻ tấn công đã vay một lượng lớn Token BYAC thông qua khoản vay nhanh, sau đó đổi lấy 5 NFT BYAC (có số lần lượt là 7594, 8214, 9915, 8167 và 4755).
Sử dụng NFT BYAC để nhận airdrop:
Kẻ tấn công đã sử dụng 6 NFT (bao gồm NFT số 1060 đã mua trước đó và 5 NFT mới được đổi) để yêu cầu airdrop, tổng cộng nhận được 60,564 token APE.
Tái đúc NFT BYAC để nhận Token:
Để hoàn trả khoản vay nhanh, kẻ tấn công đã đúc lại tất cả NFT BYAC (bao gồm số 1060) thành Token BYAC. Số Token thừa được bán ra, thu về khoảng 14 ETH.
Cuối cùng, kẻ tấn công đã thu lợi 60,564 token APE, trị giá khoảng 500,000 đô la. Chi phí tấn công là 106 ETH để mua NFT số 106 trừ đi 14 ETH thu được từ việc bán token BYAC.
Sự kiện này đã tiết lộ những rủi ro tiềm ẩn của việc airdrop dựa trên trạng thái tức thời. Khi chi phí thao túng trạng thái thấp hơn phần thưởng airdrop, có thể xuất hiện cơ hội kinh doanh chênh lệch giá. Để phòng ngừa tình huống tương tự, thiết kế cơ chế airdrop nên xem xét trạng thái nắm giữ lâu dài và ổn định hơn, thay vì chỉ dựa vào một khoảnh khắc nhanh chóng.
Sự kiện này cũng một lần nữa nhắc nhở các nhà phát triển dự án DeFi cần thiết kế và thực hiện cơ chế airdrop một cách cẩn thận hơn, để ngăn chặn việc bị những kẻ xấu lợi dụng. Đồng thời, nó cũng làm nổi bật hiệu ứng hai lưỡi của khoản vay nhanh trong hệ sinh thái DeFi, vừa có thể cung cấp tính thanh khoản, vừa có thể được sử dụng cho thao túng thị trường.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Lỗ hổng Airdrop APE coin bị lộ, Kinh doanh chênh lệch giá từ Khoản vay nhanh thu lợi 500.000 đô la.
Vào ngày 17 tháng 3 năm 2022, một giao dịch nghi vấn liên quan đến APE Coin đã thu hút sự chú ý rộng rãi. Theo báo cáo, một số Bots đã sử dụng Khoản vay nhanh để có được hơn 60.000 APE Coin, mỗi đồng trị giá khoảng 8 đô la.
Phân tích sâu cho thấy, sự kiện này có liên quan chặt chẽ đến lỗ hổng trong cơ chế airdrop của APE Coin. Điều kiện đủ để tham gia airdrop dựa trên việc người dùng có nắm giữ BYAC NFT vào một thời điểm cụ thể hay không, và trạng thái tức thời này có thể bị thao túng. Kẻ tấn công đã vay BYAC Token thông qua khoản vay nhanh, đổi nó thành BYAC NFT, sau đó sử dụng những NFT này để yêu cầu airdrop APE, và cuối cùng đúc lại NFT thành Token để hoàn trả khoản vay. Phương pháp này khá giống với mô hình tấn công thao túng giá tài sản bằng khoản vay nhanh.
Dưới đây là các bước chi tiết cho một giao dịch tấn công điển hình:
Chuẩn bị tấn công: Kẻ tấn công đã mua một NFT BYAC có số hiệu 1060 với giá 106 ETH và chuyển nó đến hợp đồng tấn công.
Vay khoản vay nhanh và đổi lấy NFT BYAC: Kẻ tấn công đã vay một lượng lớn Token BYAC thông qua khoản vay nhanh, sau đó đổi lấy 5 NFT BYAC (có số lần lượt là 7594, 8214, 9915, 8167 và 4755).
Sử dụng NFT BYAC để nhận airdrop: Kẻ tấn công đã sử dụng 6 NFT (bao gồm NFT số 1060 đã mua trước đó và 5 NFT mới được đổi) để yêu cầu airdrop, tổng cộng nhận được 60,564 token APE.
Tái đúc NFT BYAC để nhận Token: Để hoàn trả khoản vay nhanh, kẻ tấn công đã đúc lại tất cả NFT BYAC (bao gồm số 1060) thành Token BYAC. Số Token thừa được bán ra, thu về khoảng 14 ETH.
Cuối cùng, kẻ tấn công đã thu lợi 60,564 token APE, trị giá khoảng 500,000 đô la. Chi phí tấn công là 106 ETH để mua NFT số 106 trừ đi 14 ETH thu được từ việc bán token BYAC.
Sự kiện này đã tiết lộ những rủi ro tiềm ẩn của việc airdrop dựa trên trạng thái tức thời. Khi chi phí thao túng trạng thái thấp hơn phần thưởng airdrop, có thể xuất hiện cơ hội kinh doanh chênh lệch giá. Để phòng ngừa tình huống tương tự, thiết kế cơ chế airdrop nên xem xét trạng thái nắm giữ lâu dài và ổn định hơn, thay vì chỉ dựa vào một khoảnh khắc nhanh chóng.
Sự kiện này cũng một lần nữa nhắc nhở các nhà phát triển dự án DeFi cần thiết kế và thực hiện cơ chế airdrop một cách cẩn thận hơn, để ngăn chặn việc bị những kẻ xấu lợi dụng. Đồng thời, nó cũng làm nổi bật hiệu ứng hai lưỡi của khoản vay nhanh trong hệ sinh thái DeFi, vừa có thể cung cấp tính thanh khoản, vừa có thể được sử dụng cho thao túng thị trường.