火星链 火星链
Ctrl+D收藏火星链

NFT:详解APE空投漏洞

作者:

时间:1900/1/1 0:00:00

北京时间2022年3月17日,我们的系统监控到涉及APECoin的可疑交易,根据twitter用户WillSheehan的报告,套利机器人通过闪电贷薅羊毛,拿到6W多APECoin。

我们经过分析后,发现这和APECoin的空投机制存在漏洞有关。具体来说,APECoin决定能否空投取决于某一个用户是否持有BYACNFT的瞬时状态,而这个瞬时状态攻击者是可以通过借入闪电贷然后redeem获得BYACNFT来操纵的。攻击者首先通过闪电贷借入BYACToken,然后redeem获得BYACNFT。然后使用这一些NFT来claim空投的APE,最后将BYACNFTmint获得BYACToken用来返还闪电贷。我们认为这个模式同基于闪电贷的价格操纵攻击非常类似。

Coinbase业务主管:Pulsechain Sacrifice钱包用1.55亿枚USDC交换了1.537亿枚DAI:金色财经报道,Coinbase 业务主管 Conor 发推称,在链上看到的最大 USDC 净流出属于 Pulsechain Sacrifice 钱包,周末他们用 1.55 亿枚 USDC 交换了 1.537 亿 DAI。他们应该直接使用MakerDAO的PSM,Pulsechain最终承担了140万美元的滑点,他们不需要这样做。[2023/3/13 12:59:30]

接下来,我们使用一个攻击交易(https://versatile.blocksecteam.com/tx/eth/0xeb8c3bebed11e2e4fcd30cbfc2fb3c55c4ca166003c7f7d319e78eaab9747098)来简述整个过程。

渣打银行预测:明年比特币存在跌至5000美元的可能性:金色财经报道,渣打银行在题为“2023年金融市场的意外”的报告中列举了该行认为可能会出现的、被市场低估的一些行情,而比特币的再度暴跌就是其中之一。该行表示,虽然目前来看比特币的抛售速度已经放缓,但已经造成了对加密市场的伤害。越来越多的加密货币公司和交易所开始发觉自身流动性的不足,继而导致进一步的破产以及投资者对数字资产的信心崩溃。

渣打全球研究主管Eric Robertsen强调,虽然报告中写道的情况看似有些极端,但它们“在未来一年发生的概率不是零,可能性远远超出市场的预测”。比特币价格的下跌还将推升黄金的反弹,因为黄金可能会重新成为一个避风港,随着加密货币进一步下跌,更多的加密公司和投资者会选择退出,黄色金属可能会反弹30%至每盎司2250美元。[2022/12/6 21:24:28]

StepI:攻击准备

比特币与黄金价格相关性已逼近历史最高点:10月24日消息,据彭博社数据显示,比特币与黄金价格相关性已逼近0.6附近的历史最高点。据悉,该数据仅在2016年与2020年达到0.5以上。[2022/10/24 16:37:11]

攻击者购买了编号1060的BYACNFT并且转移给攻击合约。这个NFT是攻击者花了106ETH在公开市场购买的。

StepII:借入闪电贷并且redeem成BYACNFT

攻击者通过闪电贷借入大量的BYACToken。在这个过程中,攻击者通过redeemBYACtoken获得了5个BYACNFT。

StepIII:通过BYACNFT领取空投奖励

在这个过程中,攻击者使用了6个NFT来领取空投。1060是其购买,其余5个是在上一步获得。通过空投,攻击者共计获得60,564APEtokens奖励。

StepIV:mintBYACNFT获得BYACToken

攻击者需要归还借出的BYACToken。因此它将获得BYACNFTmint获得BYACToken。这个过程中,他还将其自己的编号为1060NFT也进行了mint。这是因为需要额外的BYACToken来支付闪电贷的手续费。然后将还完手续费后的BYACToken卖出获得14ETH。

获利

攻击者获得60,564APEtoken,价值50W美金。其攻击成本为1060NFT减去售卖BYACToken得到的14ETH。

Lessons

我们认为问题根源在于APE的空投只考虑瞬时状态。而这个假定是非常脆弱的,很容易被攻击者操控。如果攻击者操控状态的成本小于获得的APE空投的奖励,那么就会创造一个实际的攻击机会。

标签:YACNFTTOKENKENYAC币NFTXtoken币属于什么的phtoken

火币APP下载热门资讯
META:马克·扎克伯格首次证实,Instagram即将支持NFT

本文来自TheBlock,原文作者:AnushreeDaveOdaily星球日报译者|念银思唐报道,Meta首席执行官马克·扎克伯格表示,Instagram即将支持NFT.

1900/1/1 0:00:00
GATE:Gate.io NFT INO項目The Lost Throne正式上線公告

INO合作項目「TheLostThrone」鏈遊NFT已正式上線Gate.ioNFT魔盒,本次發售作品總數1000,單個售價75美金,數量有限,先到先得.

1900/1/1 0:00:00
THE:Tether项目周报(0314-0320)

此前,费多罗夫曾呼吁多家西方公司实施类似禁令。他还联系了主要的加密货币交易所,如Coinbase、币安和Kraken,以停止向其俄罗斯消费者提供服务.

1900/1/1 0:00:00
GAT:Gate.io博客 | 2022年加密貨幣監管的三大預測

內容摘要1.立法者爲何要求監管?2.2022年,美國立法者希望制定哪些加密貨幣法規?3.2022年加密貨幣監管的三大預測加密貨幣市場正快速發展,監管機構也在做出應對策略.

1900/1/1 0:00:00
BTC:欧易关于支持 SD 锁仓赚币,及开启第35期高息活动的公告

尊敬的欧易用户:欧易赚币将于2022年03月18日11:00(HKT)正式上线SD锁仓赚币服务,您可以一键质押SD参与锁仓获得收益.

1900/1/1 0:00:00
FIN:BKEX 关于上线 FLAG(Flag Network) 并开放充值功能的公告

尊敬的用户:?????????BKEX即将上线FLAG,详情如下:上线交易对:FLAG/USDT??币种类型:BEP20充值功能开放时间:已开放交易功能开放时间:2022年3月21日18:00提.

1900/1/1 0:00:00