Вразливість Аірдропу APE Coin: Аналіз події Арбітражу Термінових позик
17 березня 2022 року підозріла угода, пов'язана з APE Coin, привернула увагу в галузі. В процесі розслідування було виявлено, що це пов'язано з вразливістю механізму аірдропу APE Coin. Зловмисники майстерно маніпулювали статусом володіння BYAC NFT, використовуючи термінові позики, і успішно отримали велику кількість нагород у вигляді аірдропу APE Coin.
!
Аналіз процесу атаки
Підготовка на початковому етапі
Зловмисник спочатку придбав NFT BYAC з номером 1060 на відкритому ринку за ціною 106 ETH і перемістив його до атакувального контракту.
Позика та викуп
Потім зловмисник за допомогою термінових позик позичив велику кількість токенів BYAC і одразу ж викупив ці токени в 5 NFT BYAC (під номерами 7594, 8214, 9915, 8167 та 4755).
!
Отримати Аірдроп
Використовуючи 5 нових NFT та 1, куплений раніше, зловмисник успішно отримав 60,564 токена APE як аірдроп, використавши всього 6 BYAC NFT.
!
Погашення позик і пастка
Щоб повернути Термінові позики, зловмисник перезалив 6 NFT BYAC у токени BYAC. Серед них був первісно куплений NFT номер 1060, який використовувався для сплати комісії за Термінові позики. Нарешті, зловмисник продав залишки токенів BYAC на ринку та отримав близько 14 ETH.
!
Результати атаки
Ця операція дозволила зловмиснику отримати 60,564 токенів APE, які на той момент коштували приблизно 500 тисяч доларів. Віднявши витрати (106 ETH, витрачених на купівлю NFT, мінус 14 ETH, отриманих від продажу токенів BYAC), зловмисник все ще отримав значний прибуток.
!
Джерела вразливостей та висновки
Основний недолік механізму аірдропу APE Coin полягає в тому, що він враховує лише те, чи має користувач NFT у певний момент часу, і ігнорує можливість маніпуляцій з цим станом. Коли вартість маніпуляцій нижча за винагороду за аірдроп, це створює можливості для зловмисників.
!
Ця подія нагадує нам, що при розробці аірдропів або інших механізмів винагород не слід покладатися лише на миттєвий стан, а слід враховувати більш довготривалі та стабільні поведінки володіння. Водночас для станів, які можуть швидко змінюватися за допомогою термінових позик та інших способів, потрібно встановити більш суворі механізми перевірки, щоб запобігти подібним арбітражним діям.
!
У майбутньому, команди проєкту, розробляючи подібні механізми, повинні більш всебічно враховувати потенційні вразливості та вектори атак, щоб забезпечити справедливість розподілу винагород та безпеку системи. Це також нагадує інвесторам та користувачам постійно звертати увагу на безпеку проєкту та раціонально брати участь у різних аірдропах.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
10 лайків
Нагородити
10
10
Поділіться
Прокоментувати
0/400
GasWaster
· 07-22 19:09
пастка — це правильно, якщо застрягнеш — то програєш.
Переглянути оригіналвідповісти на0
Token_Sherpa
· 07-22 13:53
стійка токеноміка або крах smh
Переглянути оригіналвідповісти на0
PaperHandsCriminal
· 07-22 04:07
Я знову пропустив цю хвилю бонусів, ууу.
Переглянути оригіналвідповісти на0
RuntimeError
· 07-21 15:20
Добре, як же, велетень знову обдурює невдахи!
Переглянути оригіналвідповісти на0
MetaEggplant
· 07-19 19:40
Коли друзі приходять за кліповими купонами.
Переглянути оригіналвідповісти на0
AllInDaddy
· 07-19 19:38
Обмануті повноцінні інженери
Переглянути оригіналвідповісти на0
MetaLord420
· 07-19 19:32
Ой, це надто легко викрити.
Переглянути оригіналвідповісти на0
HodlOrRegret
· 07-19 19:27
Хто це зробив, так класно?
Переглянути оригіналвідповісти на0
MissingSats
· 07-19 19:26
Ех, жахливо, що таку велику дірку не вдалося протестувати.
Переглянути оригіналвідповісти на0
ser_ngmi
· 07-19 19:20
Зникнув, зникнув, наступний Аірдроп не грай так хитро
APE Coin Аірдроп вразливість: Термінові позики Арбітраж прибуток 500000 доларів США
Вразливість Аірдропу APE Coin: Аналіз події Арбітражу Термінових позик
17 березня 2022 року підозріла угода, пов'язана з APE Coin, привернула увагу в галузі. В процесі розслідування було виявлено, що це пов'язано з вразливістю механізму аірдропу APE Coin. Зловмисники майстерно маніпулювали статусом володіння BYAC NFT, використовуючи термінові позики, і успішно отримали велику кількість нагород у вигляді аірдропу APE Coin.
!
Аналіз процесу атаки
Підготовка на початковому етапі
Зловмисник спочатку придбав NFT BYAC з номером 1060 на відкритому ринку за ціною 106 ETH і перемістив його до атакувального контракту.
Позика та викуп
Потім зловмисник за допомогою термінових позик позичив велику кількість токенів BYAC і одразу ж викупив ці токени в 5 NFT BYAC (під номерами 7594, 8214, 9915, 8167 та 4755).
!
Отримати Аірдроп
Використовуючи 5 нових NFT та 1, куплений раніше, зловмисник успішно отримав 60,564 токена APE як аірдроп, використавши всього 6 BYAC NFT.
!
Погашення позик і пастка
Щоб повернути Термінові позики, зловмисник перезалив 6 NFT BYAC у токени BYAC. Серед них був первісно куплений NFT номер 1060, який використовувався для сплати комісії за Термінові позики. Нарешті, зловмисник продав залишки токенів BYAC на ринку та отримав близько 14 ETH.
!
Результати атаки
Ця операція дозволила зловмиснику отримати 60,564 токенів APE, які на той момент коштували приблизно 500 тисяч доларів. Віднявши витрати (106 ETH, витрачених на купівлю NFT, мінус 14 ETH, отриманих від продажу токенів BYAC), зловмисник все ще отримав значний прибуток.
!
Джерела вразливостей та висновки
Основний недолік механізму аірдропу APE Coin полягає в тому, що він враховує лише те, чи має користувач NFT у певний момент часу, і ігнорує можливість маніпуляцій з цим станом. Коли вартість маніпуляцій нижча за винагороду за аірдроп, це створює можливості для зловмисників.
!
Ця подія нагадує нам, що при розробці аірдропів або інших механізмів винагород не слід покладатися лише на миттєвий стан, а слід враховувати більш довготривалі та стабільні поведінки володіння. Водночас для станів, які можуть швидко змінюватися за допомогою термінових позик та інших способів, потрібно встановити більш суворі механізми перевірки, щоб запобігти подібним арбітражним діям.
!
У майбутньому, команди проєкту, розробляючи подібні механізми, повинні більш всебічно враховувати потенційні вразливості та вектори атак, щоб забезпечити справедливість розподілу винагород та безпеку системи. Це також нагадує інвесторам та користувачам постійно звертати увагу на безпеку проєкту та раціонально брати участь у різних аірдропах.
!
!