تحليل حدث المراجحة للقروض السريعة في ثغرة توزيع مجاني APE Coin
في 17 مارس 2022، أثارت صفقة مشبوهة تتعلق بـ APE Coin اهتمام الصناعة. وكشفت التحقيقات أن هذا مرتبط بوجود ثغرة في آلية توزيع APE Coin. استغل المهاجمون القروض السريعة للتلاعب بذكاء في حالة حيازة NFT الخاص بـ BYAC، مما أتاح لهم الحصول على جوائز توزيع مجاني كبيرة من APE Coin.
!
تحليل عملية الهجوم
التحضير المسبق
اشترى المهاجم أولاً NFT BYAC رقم 1060 بسعر 106 ETH في السوق العامة، ثم نقله إلى عقد الهجوم.
القروض والاسترداد
ثم قام المهاجم باقتراض كمية كبيرة من رموز BYAC Token من خلال القروض السريعة، واسترداد هذه الرموز على الفور إلى 5 رموز NFT من BYAC (بالأرقام 7594، 8214، 9915، 8167 و 4755).
!
استلام توزيع مجاني
باستخدام 5 NFT تم الحصول عليها حديثًا بالإضافة إلى NFT واحد تم شراؤه سابقًا، استخدم المهاجمون إجمالي 6 NFT من BYAC لاستلام 60,564 من رموز APE كمكافأة توزيع مجاني.
!
سداد القروض وفخ
لإعادة القروض السريعة، قام المهاجم بإعادة سك 6 رموز NFT من نوع BYAC إلى رمز BYAC. ومن بين هذه الرموز، كان NFT رقم 1060 الذي تم شراؤه في البداية، وذلك لدفع رسوم القرض السريع. وأخيراً، قام المهاجم ببيع رموز BYAC المتبقية في السوق، وحصل على حوالي 14 ETH.
!
نتيجة الهجوم
أدى هذا الإجراء إلى حصول المهاجم على 60,564 توكن من APE، التي كانت قيمتها حوالي 500,000 دولار في ذلك الوقت. وبعد خصم التكاليف (106 ETH التي تم إنفاقها على شراء NFT مطروحًا منها 14 ETH التي تم الحصول عليها من بيع BYAC Token)، لا يزال المهاجم يحقق ربحًا كبيرًا.
!
جذور الثغرات والدروس المستفادة
العيب الرئيسي في آلية توزيع APE Coin هو أنها تأخذ في الاعتبار فقط ما إذا كان المستخدم يمتلك NFT في لحظة معينة، وتتجاهل إمكانية التلاعب بهذا الوضع. عندما تكون تكلفة التلاعب أقل من مكافأة التوزيع، فإنها تخلق فرصة للمهاجمين.
!
تذكرنا هذه الحادثة بأنه عند تصميم توزيع مجاني أو آليات مكافآت أخرى، لا ينبغي الاعتماد فقط على الحالة اللحظية، بل يجب أخذ سلوك الاحتفاظ على المدى الطويل والأكثر استقرارًا في الاعتبار. في الوقت نفسه، يجب وضع آليات فحص أكثر صرامة للحالات التي قد تتغير بسرعة بواسطة القروض السريعة وغيرها من الطرق، لمنع حدوث سلوكيات المراجحة المماثلة.
!
في المستقبل، يجب على فريق المشروع عند تصميم آليات مماثلة أن يأخذ في الاعتبار بشكل أكثر شمولاً الثغرات المحتملة ونقاط الهجوم، لضمان عدالة توزيع المكافآت وأمان النظام. في الوقت نفسه، يذكّر هذا أيضاً المستثمرين والمستخدمين بضرورة متابعة أمان المشروع باستمرار، والمشاركة بشكل عقلاني في جميع أنشطة التوزيع المجاني.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 10
أعجبني
10
10
مشاركة
تعليق
0/400
GasWaster
· 07-22 19:09
من الصواب صرف النقود ، وإذا واجهتك مشكلة ، فسوف تخسر المال
شاهد النسخة الأصليةرد0
Token_Sherpa
· 07-22 13:53
اقتصاد العملة المستدام أو الفشل
شاهد النسخة الأصليةرد0
PaperHandsCriminal
· 07-22 04:07
لقد فاتني هذه الفرصة مرة أخرى، واااا!
شاهد النسخة الأصليةرد0
RuntimeError
· 07-21 15:20
يا إلهي، الحوت الكبير يُستغل بغباء مرة أخرى.
شاهد النسخة الأصليةرد0
MetaEggplant
· 07-19 19:40
哥们也来 اقتطاف القسائم啊
شاهد النسخة الأصليةرد0
AllInDaddy
· 07-19 19:38
مهندس برمجيات كامل مخادع
شاهد النسخة الأصليةرد0
MetaLord420
· 07-19 19:32
آي، هذا سهل جداً أن يتم اكتشافه.
شاهد النسخة الأصليةرد0
HodlOrRegret
· 07-19 19:27
من فعل ذلك بهذا الشكل الرائع
شاهد النسخة الأصليةرد0
MissingSats
· 07-19 19:26
يا للأسف، لم يتم اكتشاف هذه الثغرة الكبيرة.
شاهد النسخة الأصليةرد0
ser_ngmi
· 07-19 19:20
هربت هربت، لا تتلاعب هكذا في التوزيع المجاني القادم
ثغرة توزيع مجاني APE Coin: أرباح المراجحة بالقروض السريعة تصل إلى 500000 دولار
تحليل حدث المراجحة للقروض السريعة في ثغرة توزيع مجاني APE Coin
في 17 مارس 2022، أثارت صفقة مشبوهة تتعلق بـ APE Coin اهتمام الصناعة. وكشفت التحقيقات أن هذا مرتبط بوجود ثغرة في آلية توزيع APE Coin. استغل المهاجمون القروض السريعة للتلاعب بذكاء في حالة حيازة NFT الخاص بـ BYAC، مما أتاح لهم الحصول على جوائز توزيع مجاني كبيرة من APE Coin.
!
تحليل عملية الهجوم
التحضير المسبق
اشترى المهاجم أولاً NFT BYAC رقم 1060 بسعر 106 ETH في السوق العامة، ثم نقله إلى عقد الهجوم.
القروض والاسترداد
ثم قام المهاجم باقتراض كمية كبيرة من رموز BYAC Token من خلال القروض السريعة، واسترداد هذه الرموز على الفور إلى 5 رموز NFT من BYAC (بالأرقام 7594، 8214، 9915، 8167 و 4755).
!
استلام توزيع مجاني
باستخدام 5 NFT تم الحصول عليها حديثًا بالإضافة إلى NFT واحد تم شراؤه سابقًا، استخدم المهاجمون إجمالي 6 NFT من BYAC لاستلام 60,564 من رموز APE كمكافأة توزيع مجاني.
!
سداد القروض وفخ
لإعادة القروض السريعة، قام المهاجم بإعادة سك 6 رموز NFT من نوع BYAC إلى رمز BYAC. ومن بين هذه الرموز، كان NFT رقم 1060 الذي تم شراؤه في البداية، وذلك لدفع رسوم القرض السريع. وأخيراً، قام المهاجم ببيع رموز BYAC المتبقية في السوق، وحصل على حوالي 14 ETH.
!
نتيجة الهجوم
أدى هذا الإجراء إلى حصول المهاجم على 60,564 توكن من APE، التي كانت قيمتها حوالي 500,000 دولار في ذلك الوقت. وبعد خصم التكاليف (106 ETH التي تم إنفاقها على شراء NFT مطروحًا منها 14 ETH التي تم الحصول عليها من بيع BYAC Token)، لا يزال المهاجم يحقق ربحًا كبيرًا.
!
جذور الثغرات والدروس المستفادة
العيب الرئيسي في آلية توزيع APE Coin هو أنها تأخذ في الاعتبار فقط ما إذا كان المستخدم يمتلك NFT في لحظة معينة، وتتجاهل إمكانية التلاعب بهذا الوضع. عندما تكون تكلفة التلاعب أقل من مكافأة التوزيع، فإنها تخلق فرصة للمهاجمين.
!
تذكرنا هذه الحادثة بأنه عند تصميم توزيع مجاني أو آليات مكافآت أخرى، لا ينبغي الاعتماد فقط على الحالة اللحظية، بل يجب أخذ سلوك الاحتفاظ على المدى الطويل والأكثر استقرارًا في الاعتبار. في الوقت نفسه، يجب وضع آليات فحص أكثر صرامة للحالات التي قد تتغير بسرعة بواسطة القروض السريعة وغيرها من الطرق، لمنع حدوث سلوكيات المراجحة المماثلة.
!
في المستقبل، يجب على فريق المشروع عند تصميم آليات مماثلة أن يأخذ في الاعتبار بشكل أكثر شمولاً الثغرات المحتملة ونقاط الهجوم، لضمان عدالة توزيع المكافآت وأمان النظام. في الوقت نفسه، يذكّر هذا أيضاً المستثمرين والمستخدمين بضرورة متابعة أمان المشروع باستمرار، والمشاركة بشكل عقلاني في جميع أنشطة التوزيع المجاني.
!
!