火星链 火星链
Ctrl+D收藏火星链
首页 > 瑞波币 > 正文

YAC:被薅了 APE 空投漏洞简析

作者:

时间:1900/1/1 0:00:00

北京时间2022年3月17日,我们的系统监控到涉及APE Coin的可疑交易,根据twitter用户Will Sheehan的报告,套利机器人通过闪电贷薅羊毛,拿到6W多APE Coin(每个价值8美元)。

我们经过分析后,发现这和APE Coin的空投机制存在漏洞有关。具体来说,APE Coin决定能否空投取决于某一个用户是否持有BYAC NFT的瞬时状态,而这个瞬时状态攻击者是可以通过借入闪电贷然后redeem获得BYAC NFT来操纵的。攻击者首先通过闪电贷借入BYAC Token,然后redeem获得BYAC NFT。然后使用这一些NFT来claim空投的APE,最后将BYAC NFT mint获得BYAC Token用来返还闪电贷。我们认为这个模式同基于闪电贷的价格操纵攻击非常类似(合约通过一个资产的瞬时价格来对另外一个资产进行定价,而这个瞬时价格可以被操控)。

DigiDaigaku:Dragon Egg空投已结束:金色财经报道,DigiDaigaku在其官方社交媒体账号上宣布Dragon Egg空投已结束,同时DigiDaigaku还表示如果用户错过了此前官方报名,目前还有2500个免费Dragon Egg在FreeNFT平台上提供。Dragon Egg于上个月12号为该生态系统NFT持有者(包括Genesis、Heroes和Super Villains)启动空投,以帮助婴儿龙成长进化。[2023/3/17 13:10:00]

接下来,我们使用一个攻击交易(https://versatile.blocksecteam.com/tx/eth/0xeb8c3bebed11e2e4fcd30cbfc2fb3c55c4ca166003c7f7d319e78eaab9747098)来简述整个过程。

IMF呼吁对加密行业进行监管:11月24日消息,近日,IMF官网发布文章呼吁监管,并直言“加密资产的风险显而易见,是时候进行监管了。”

IMF在文章中表示,FTX爆雷事件以及主流加密货币的价格下跌,促使人们再次呼吁加强消费者保护和对加密行业进行监管。监管高度不稳定和去中心化的系统对大多数政府来说仍然是一项挑战,需要在最小化风险和最大化创新之间取得平衡。如果像中非共和国最近那样采用加密货币作为法定货币,风险就会大很多。如果政府持有或接受加密资产作为支付手段,可能会使公共财政系统面临风险。中非共和国是非洲第一个,也是继萨尔瓦多之后全球第二个将比特币指定为法定货币的国家。[2022/11/24 8:05:23]

数据:以太坊NFT 8月份交易量跌破100万笔:金色财经报道,由于对其生态系统中的数字收藏品项目的兴趣减少,以太坊NFT总交易量在8月份跌至新低。以太坊NFT总交易量触及五个月低点,8月份的NFT总交易量约为998,000笔。其他知名项目,如来自Otherside Metaverse的买家也从5月的20,514人降至8月的1,934人,创下三个月低点,这也对应于总交易量3,778笔,再创三个月低点。(beincrypto)[2022/9/9 13:19:18]

攻击者购买了编号1060的BYAC NFT并且转移给攻击合约。这个NFT是攻击者花了106 ETH在公开市场购买的。

攻击者通过闪电贷借入大量的BYAC Token。在这个过程中,攻击者通过redeem BYAC token获得了5个BYAC NFT(编号 7594,8214,9915,8167,4755)。

在这个过程中,攻击者使用了6个NFT来领取空投。1060是其购买,其余5个是在上一步获得。通过空投,攻击者共计获得60,564 APE tokens奖励。

攻击者需要归还借出的BYAC Token。因此它将获得BYAC NFT mint获得BYAC Token。这个过程中,他还将其自己的编号为1060 NFT也进行了mint。这是因为需要额外的BYAC Token来支付闪电贷的手续费。然后将还完手续费后的BYAC Token卖出获得14 ETH。

攻击者获得60,564 APE token,价值50W美金。其攻击成本为1060 NFT(106ETH)减去售卖BYAC Token得到的14ETH。

我们认为问题根源在于APE的空投只考虑瞬时状态(NFT是否在某一个时刻被某一个用户持有)。而这个假定是非常脆弱的,很容易被攻击者操控。如果攻击者操控状态的成本小于获得的APE空投的奖励,那么就会创造一个实际的攻击机会。

标签:NFTYACTOKENTOKEDFNORM Vault (NFTX)Happy PEPE Yacht ClubDO TokenDas Galaxy Talent Token

瑞波币热门资讯
DEF:2022年2月Dapp行业报告

最近的宏观经济形势为dapp行业创造了独特的环境。尽管加密市场仍处于熊市趋势中,但实现web3的新方法正从不同领域涌现.

1900/1/1 0:00:00
NBS:金色前哨 | 澳大利亚准备在监管加密货币方面采取重大举措

澳大利亚已加入计划监管加密货币行业的国家之列,政府宣布了对支付系统进行重大改革的计划,该改革也将针对数字货币.

1900/1/1 0:00:00
FTS:还在用Spotify?音乐家的收入在Web3中从300美元暴涨到60,000美元

NFTs提供了传统流媒体主导的音乐业务中难以企及的财务收益一批音乐艺术家开始使用新的、基于区块链的数字领域(有时被称为web3)来做他们一直梦想的事情---通过制作音乐赚钱.

1900/1/1 0:00:00
NFT:项目周刊|澳本聪:比特币和 IPv6 将为每个人创造安全和财富

金色周刊是金色财经推出的一档每周区块链行业总结栏目,内容涵盖一周重点新闻、行情与合约数据、矿业信息、项目动态、技术进展等行业动态。本文是项目周刊,带您一览本周主流项目以及明星项目的进展.

1900/1/1 0:00:00
WEB3:Mina基金会CEO:零知识证明成为Web 3的杀手级功能

去年以来,趋势表明零知识证明 (ZKP) 将在未来的加密货币和 Web3 中发挥重要的作用,以实现可扩展性和用户许可的隐私性.

1900/1/1 0:00:00
数字人:315关注:数字人民币的问题仍需重视

移动支付网消息:数字人民币的发展已成蔚然之势。截至2021年底,数字人民币试点场景超过808.5万个,累计开立个人钱包2.6亿个,交易金额875.7亿元.

1900/1/1 0:00:00