2022年3月17日、APE Coinに関与する疑わしい取引が業界の関心を引きました。報告によると、アービトラージボットはフラッシュローン技術を利用して6万枚以上のAPE Coinを取得し、1枚あたり約8ドルの価値があるとのことです。深入分析表明,这一事件与APE Coin空投机制的漏洞密切相关。APE Coinのエアドロップ資格判定は、ユーザーが特定の時刻にBYAC NFTを保有しているかどうかに依存しており、この瞬時状態は攻撃者によってフラッシュローンを通じて操作される可能性があります。攻撃者はまずBYAC Tokenを借り入れ、BYAC NFTに交換し、次にこれらのNFTを利用してAPEのエアドロップを請求し、最後にBYAC NFTをBYAC Tokenに戻してフラッシュローンを返済します。この手法はフラッシュローンに基づく価格操作攻撃と同様であり、いずれもシステムが資産の瞬時状態に依存していることを利用しています。! [](https://img-cdn.gateio.im/social/moments-3ecce4480bccdb9f906c0493fad1b7c3)以下は典型的な攻撃の詳細なプロセスです:1.攻撃の準備:攻撃者は106 ETHの価格で1060番のBYAC NFTを購入し、それを攻撃契約に転送しました。! [](https://img-cdn.gateio.im/social/moments-f2f8baa413caba7830498a4dd409b507)2. フラッシュローンを借りてBYAC NFTを交換する:攻撃者はフラッシュローンを利用して大量のBYACトークンを借り入れ、5つのBYAC NFT(番号はそれぞれ7594、8214、9915、8167、4755)に交換しました。! [](https://img-cdn.gateio.im/social/moments-1307b16a3efc87b2a28686635eb387f0)3. BYAC NFTを利用してエアドロップを申請する:攻撃者は6枚のNFT(以前購入した1060号と新たに交換した5枚を含む)を使用してエアドロップを申請し、合計で60,564枚のAPEトークンを獲得しました。! [](https://img-cdn.gateio.im/social/moments-943872edecab5f53adaf2fd0096ca0b1)4. BYAC NFTをBYACトークンに戻します。フラッシュローンを返済するために、攻撃者は取得したBYAC NFTをBYAC Tokenに再変換します。同時に、彼は自分の1060号NFTを変換してフラッシュローン手数料を支払います。残りのBYAC Tokenは売却され、14 ETHを得ます。! [](https://img-cdn.gateio.im/social/moments-2a88d960c13e09d75102a8ef40809dd8)最終的に、攻撃者は60,564枚のAPEトークンを取得し、その価値は約50万ドルです。攻撃コストは106号のNFTの価格(106 ETH)からBYACトークンの販売による14 ETHを差し引いたものです。! [](https://img-cdn.gateio.im/social/moments-15d6b7a15aeab8118fa836f8a8a974d3)この出来事は、瞬時の状態にのみ依存してエアドロップを判定することの脆弱性を浮き彫りにしました。もし状態を操作するコストがエアドロップの報酬を下回る場合、アービトラージのスペースが生まれます。今後、同様のメカニズムを設計する際には、システムの安全性と公平性を高めるために、より包括的な判定基準を考慮するべきです。! [](https://img-cdn.gateio.im/social/moments-19e7e9b7bf5d5dbcea0b52f20939b3cb)! [](https://img-cdn.gateio.im/social/moments-87998d1f87b3eef11e605218318247c8)! [](https://img-cdn.gateio.im/social/moments-69334bb11681f3d6f752e91e73291e71)
APEエアドロップ漏洞遭アービトラージ フラッシュローン助攻获利50万美元
2022年3月17日、APE Coinに関与する疑わしい取引が業界の関心を引きました。報告によると、アービトラージボットはフラッシュローン技術を利用して6万枚以上のAPE Coinを取得し、1枚あたり約8ドルの価値があるとのことです。
深入分析表明,这一事件与APE Coin空投机制的漏洞密切相关。APE Coinのエアドロップ資格判定は、ユーザーが特定の時刻にBYAC NFTを保有しているかどうかに依存しており、この瞬時状態は攻撃者によってフラッシュローンを通じて操作される可能性があります。攻撃者はまずBYAC Tokenを借り入れ、BYAC NFTに交換し、次にこれらのNFTを利用してAPEのエアドロップを請求し、最後にBYAC NFTをBYAC Tokenに戻してフラッシュローンを返済します。この手法はフラッシュローンに基づく価格操作攻撃と同様であり、いずれもシステムが資産の瞬時状態に依存していることを利用しています。
!
以下は典型的な攻撃の詳細なプロセスです:
1.攻撃の準備: 攻撃者は106 ETHの価格で1060番のBYAC NFTを購入し、それを攻撃契約に転送しました。
!
!
!
!
最終的に、攻撃者は60,564枚のAPEトークンを取得し、その価値は約50万ドルです。攻撃コストは106号のNFTの価格(106 ETH)からBYACトークンの販売による14 ETHを差し引いたものです。
!
この出来事は、瞬時の状態にのみ依存してエアドロップを判定することの脆弱性を浮き彫りにしました。もし状態を操作するコストがエアドロップの報酬を下回る場合、アービトラージのスペースが生まれます。今後、同様のメカニズムを設計する際には、システムの安全性と公平性を高めるために、より包括的な判定基準を考慮するべきです。
!
!
!