Análisis del incidente de explotación de vulnerabilidades en el Airdrop de APE Coin
El 17 de marzo de 2022, una transacción sospechosa relacionada con APE Coin llamó la atención de la industria. Tras la investigación, se descubrió que esto estaba relacionado con una vulnerabilidad en el mecanismo de airdrop de APE Coin. Los atacantes aprovecharon astutamente los préstamos relámpago para obtener una gran cantidad de APE Coin.
El análisis indica que hay defectos de diseño en la determinación de la elegibilidad para el Airdrop de APE Coin. El sistema solo verifica si el usuario posee un BYAC NFT en un momento específico, sin considerar que este estado momentáneo puede ser manipulado. Los atacantes han aprovechado esto, obteniendo temporalmente la propiedad del BYAC NFT a través de un préstamo relámpago, y así reclamando la recompensa del airdrop.
Este modo de ataque es bastante similar a los ataques de manipulación de precios basados en préstamos relámpago. En este último, los contratos inteligentes a menudo dependen del precio instantáneo de un activo para fijar el precio de otro activo, y este precio instantáneo es precisamente fácil de manipular.
A continuación, analizaremos una transacción de ataque específica para explicar el proceso en detalle:
Proceso de ataque
Primer paso: trabajo de preparación
El atacante adquirió un NFT BYAC con el número 1060 en el mercado público por un precio de 106 ETH y lo transfirió al contrato de ataque.
Segundo paso: pedir prestado un préstamo relámpago e intercambiar NFT BYAC
El atacante pidió prestados una gran cantidad de tokens BYAC a través de un préstamo relámpago, y luego canjeó estos tokens por 5 NFT de BYAC (con los números 7594, 8214, 9915, 8167 y 4755).
Paso tres: reclamar el Airdrop
Los atacantes utilizaron 6 NFT de BYAC (incluyendo el número 1060 que compraron anteriormente y las 5 recién canjeadas) para recibir con éxito 60,564 tokens APE como recompensa de airdrop.
Paso 4: acuñar NFT BYAC para reembolsar el préstamo relámpago
Para reembolsar el BYAC Token que había tomado prestado, el atacante volvió a acuñar el BYAC NFT recién obtenido en BYAC Token. Al mismo tiempo, también acuñó el NFT número 1060 que poseía para obtener BYAC Token adicional y pagar la tarifa del préstamo relámpago. Finalmente, el atacante vendió el BYAC Token restante en el mercado, obteniendo alrededor de 14 ETH.
Beneficios de Ataque
A través de esta operación, el atacante obtuvo un total de 60,564 tokens APE, cuyo valor de mercado era de aproximadamente 500,000 dólares en ese momento. Teniendo en cuenta el costo del ataque (la compra del NFT número 1060 por 106 ETH menos los 14 ETH obtenidos por la venta del Token BYAC), el atacante aún logró obtener una ganancia considerable.
Lecciones y reflexiones
El problema expuesto por este evento es que el mecanismo de airdrop de APE depende en exceso del estado de tenencia de activos de los usuarios en un momento determinado, ignorando que este estado puede ser manipulado temporalmente por personas. Cuando el costo de manipulación es menor que la recompensa del airdrop, surgen oportunidades de arbitraje, lo que puede provocar ataques.
En el futuro, al diseñar mecanismos similares, se deben considerar indicadores de comportamiento del usuario a más largo plazo y más estables, en lugar de depender únicamente del estado de un momento determinado. Al mismo tiempo, también es necesario fortalecer la evaluación y prevención de los riesgos de seguridad que pueden surgir de nuevas herramientas financieras como los préstamos relámpago.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
10 me gusta
Recompensa
10
5
Compartir
Comentar
0/400
LiquidatedAgain
· 07-26 03:03
Ya había visto esta trampa de Airdrop, es otra operación arruinada con apalancamiento.
Ver originalesResponder0
MEVSupportGroup
· 07-24 04:58
Otra vez me han robado, eh.
Ver originalesResponder0
TokenBeginner'sGuide
· 07-23 11:29
Pequeño recordatorio: la tasa de utilización de Flash Loans ha superado el 85%, se recomienda a los novatos mantenerse alejados.
Ver originalesResponder0
ser_we_are_ngmi
· 07-23 11:21
¿Obtuviste 50w en la promoción on-chain? Esta vez se hizo grande.
Se ha explotado una vulnerabilidad en el Airdrop de APE Coin, obteniendo ganancias de 500,000 dólares mediante un ataque de flash loan.
Análisis del incidente de explotación de vulnerabilidades en el Airdrop de APE Coin
El 17 de marzo de 2022, una transacción sospechosa relacionada con APE Coin llamó la atención de la industria. Tras la investigación, se descubrió que esto estaba relacionado con una vulnerabilidad en el mecanismo de airdrop de APE Coin. Los atacantes aprovecharon astutamente los préstamos relámpago para obtener una gran cantidad de APE Coin.
El análisis indica que hay defectos de diseño en la determinación de la elegibilidad para el Airdrop de APE Coin. El sistema solo verifica si el usuario posee un BYAC NFT en un momento específico, sin considerar que este estado momentáneo puede ser manipulado. Los atacantes han aprovechado esto, obteniendo temporalmente la propiedad del BYAC NFT a través de un préstamo relámpago, y así reclamando la recompensa del airdrop.
Este modo de ataque es bastante similar a los ataques de manipulación de precios basados en préstamos relámpago. En este último, los contratos inteligentes a menudo dependen del precio instantáneo de un activo para fijar el precio de otro activo, y este precio instantáneo es precisamente fácil de manipular.
A continuación, analizaremos una transacción de ataque específica para explicar el proceso en detalle:
Proceso de ataque
Primer paso: trabajo de preparación
El atacante adquirió un NFT BYAC con el número 1060 en el mercado público por un precio de 106 ETH y lo transfirió al contrato de ataque.
Segundo paso: pedir prestado un préstamo relámpago e intercambiar NFT BYAC
El atacante pidió prestados una gran cantidad de tokens BYAC a través de un préstamo relámpago, y luego canjeó estos tokens por 5 NFT de BYAC (con los números 7594, 8214, 9915, 8167 y 4755).
Paso tres: reclamar el Airdrop
Los atacantes utilizaron 6 NFT de BYAC (incluyendo el número 1060 que compraron anteriormente y las 5 recién canjeadas) para recibir con éxito 60,564 tokens APE como recompensa de airdrop.
Paso 4: acuñar NFT BYAC para reembolsar el préstamo relámpago
Para reembolsar el BYAC Token que había tomado prestado, el atacante volvió a acuñar el BYAC NFT recién obtenido en BYAC Token. Al mismo tiempo, también acuñó el NFT número 1060 que poseía para obtener BYAC Token adicional y pagar la tarifa del préstamo relámpago. Finalmente, el atacante vendió el BYAC Token restante en el mercado, obteniendo alrededor de 14 ETH.
Beneficios de Ataque
A través de esta operación, el atacante obtuvo un total de 60,564 tokens APE, cuyo valor de mercado era de aproximadamente 500,000 dólares en ese momento. Teniendo en cuenta el costo del ataque (la compra del NFT número 1060 por 106 ETH menos los 14 ETH obtenidos por la venta del Token BYAC), el atacante aún logró obtener una ganancia considerable.
Lecciones y reflexiones
El problema expuesto por este evento es que el mecanismo de airdrop de APE depende en exceso del estado de tenencia de activos de los usuarios en un momento determinado, ignorando que este estado puede ser manipulado temporalmente por personas. Cuando el costo de manipulación es menor que la recompensa del airdrop, surgen oportunidades de arbitraje, lo que puede provocar ataques.
En el futuro, al diseñar mecanismos similares, se deben considerar indicadores de comportamiento del usuario a más largo plazo y más estables, en lugar de depender únicamente del estado de un momento determinado. Al mismo tiempo, también es necesario fortalecer la evaluación y prevención de los riesgos de seguridad que pueden surgir de nuevas herramientas financieras como los préstamos relámpago.