17 березня 2022 року підозріла угода, що стосується APE Coin, привернула увагу галузі. За повідомленнями, арбітражні Боти використали технологію термінових позик, щоб отримати понад 60 000 монет APE, кожна з яких коштує близько 8 доларів.
Глибокий аналіз показує, що ця подія тісно пов'язана з вразливістю механізму аірдропу APE Coin. Визначення права на аірдроп APE Coin залежить від того, чи має користувач у певний момент часу BYAC NFT, і цей миттєвий стан може бути маніпульований зловмисниками через Термінові позики. Зловмисники спочатку позичають BYAC Token, обмінюють його на BYAC NFT, потім використовують ці NFT для отримання аірдропу APE, а в кінці повертають BYAC NFT назад у BYAC Token для погашення Термінових позик. Цей метод схожий на атаки на маніпуляцію цінами на основі Термінових позик, оскільки обидва використовують залежність системи від миттєвого стану активів.
!
Ось детальний процес типової атаки:
Підготовка до атаки:
Зловмисник придбав NFT BYAC з номером 1060 за 106 ETH і перевів його в атакувальний контракт.
!
Взяти термінові позики та обміняти на BYAC NFT:
Зловмисник позичив велику кількість токенів BYAC через Термінові позики та обміняв їх на 5 NFT BYAC (номерів 7594, 8214, 9915, 8167 та 4755).
!
Використання BYAC NFT для отримання аірдропу:
Атакуючий використав 6 NFT (включаючи раніше придбаний номер 1060 та щойно обміняні 5) для отримання аеродропу, всього отримав 60,564 токена APE.
!
Повернення NFT BYAC у токени BYAC:
Щоб погасити термінові позики, зловмисник повторно конвертує отримані BYAC NFT в токени BYAC. Одночасно він також конвертує свій NFT номер 1060, щоб сплатити комісію за термінові позики. Решта токенів BYAC продається, отримуючи 14 ETH.
!
Врешті-решт, зловмисник отримав 60,564 APE токенів вартістю приблизно 500,000 доларів. Вартість атаки становила ціну NFT №106 (106 ETH) мінус 14 ETH, отримані від продажу BYAC токена.
!
Ця подія підкреслює вразливість, пов'язану з покладанням лише на миттєвий стан для визначення аірдропів. Якщо вартість маніпуляції станом нижча за винагороду за аірдроп, виникає арбітражний простір. У майбутньому, розробляючи подібні механізми, слід враховувати більш комплексні критерії визначення, щоб підвищити безпеку та справедливість системи.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
APEАірдроп вразливість стала об'єктом Арбітражу, Термінові позики допомогли отримати прибуток у 50 тисяч доларів США
17 березня 2022 року підозріла угода, що стосується APE Coin, привернула увагу галузі. За повідомленнями, арбітражні Боти використали технологію термінових позик, щоб отримати понад 60 000 монет APE, кожна з яких коштує близько 8 доларів.
Глибокий аналіз показує, що ця подія тісно пов'язана з вразливістю механізму аірдропу APE Coin. Визначення права на аірдроп APE Coin залежить від того, чи має користувач у певний момент часу BYAC NFT, і цей миттєвий стан може бути маніпульований зловмисниками через Термінові позики. Зловмисники спочатку позичають BYAC Token, обмінюють його на BYAC NFT, потім використовують ці NFT для отримання аірдропу APE, а в кінці повертають BYAC NFT назад у BYAC Token для погашення Термінових позик. Цей метод схожий на атаки на маніпуляцію цінами на основі Термінових позик, оскільки обидва використовують залежність системи від миттєвого стану активів.
!
Ось детальний процес типової атаки:
!
!
!
!
Врешті-решт, зловмисник отримав 60,564 APE токенів вартістю приблизно 500,000 доларів. Вартість атаки становила ціну NFT №106 (106 ETH) мінус 14 ETH, отримані від продажу BYAC токена.
!
Ця подія підкреслює вразливість, пов'язану з покладанням лише на миттєвий стан для визначення аірдропів. Якщо вартість маніпуляції станом нижча за винагороду за аірдроп, виникає арбітражний простір. У майбутньому, розробляючи подібні механізми, слід враховувати більш комплексні критерії визначення, щоб підвищити безпеку та справедливість системи.
!
!
!