17 Mart 2022'de, APE Coin ile ilgili şüpheli bir işlem sektörün dikkatini çekti. Yapılan araştırmalar, bunun APE Coin'in airdrop mekanizmasındaki bir güvenlik açığı ile ilgili olduğunu ortaya koydu. Saldırgan, akıllıca flash loan kullanarak büyük miktarda APE Coin elde etmeyi başardı.
Analizler, APE Coin'in airdrop uygunluk belirlemesinde tasarım hataları olduğunu göstermektedir. Sistem, kullanıcıların belirli bir anda BYAC NFT'ye sahip olup olmadığını kontrol etmekte, ancak bu anlık durumun insan tarafından manipüle edilebileceğini göz önünde bulundurmamaktadır. Saldırganlar tam olarak bu durumu kullanarak, flash loan aracılığıyla BYAC NFT'nin mülkiyetini geçici olarak elde etmekte ve ardından airdrop ödüllerini almaktadır.
Bu saldırı yöntemi, flash krediye dayalı fiyat manipülasyonu saldırısına oldukça benzemektedir. İkincisinde, akıllı sözleşmeler genellikle bir varlığın anlık fiyatına başka bir varlığın fiyatlandırılması için bağımlıdır ve bu anlık fiyat tam olarak manipüle edilmeye açıktır.
Aşağıda, belirli bir saldırı işlemini analiz ederek süreci ayrıntılı bir şekilde açıklayacağız:
Saldırı Süreci
İlk adım: Hazırlık çalışmaları
Saldırgan, açık piyasadan 1060 numaralı BYAC NFT'sini 106 ETH fiyatıyla satın aldı ve bunu saldırı sözleşmesine transfer etti.
İkinci adım: Flaş kredi al ve BYAC NFT'sini değiştir
Saldırgan, büyük miktarda BYAC Token'ı flash kredi ile borç alarak, ardından bu token'ları 5 adet BYAC NFT'ye (sırasıyla 7594, 8214, 9915, 8167 ve 4755 numaralı) dönüştürdü.
Üçüncü adım: Airdrop ödüllerini alın
Saldırgan, 6 adet BYAC NFT (önceden satın alınan 1060 numaralı ve yeni takas edilen 5 adet dahil) kullanarak 60,564 adet APE token'ı airdrop ödülü olarak başarıyla aldı.
Dördüncü adım: Flash loan geri ödemek için BYAC NFT'yi mintlemek
Kullanılan BYAC Token'ı geri ödemek için, saldırgan yeni aldığı BYAC NFT'yi BYAC Token olarak yeniden mint etti. Aynı zamanda, sahip olduğu 1060 numaralı NFT'yi de mint ederek ek BYAC Token elde etti ve bu sayede ani kredi ücreti ödedi. Son olarak, saldırgan kalan BYAC Token'ları piyasada satarak yaklaşık 14 ETH kazandı.
Saldırı Geliri
Bu işlemle birlikte, saldırgan toplam 60,564 APE token elde etti ve o sırada piyasa değeri yaklaşık 500,000 dolardı. Saldırı maliyetini (106. NFT'yi satın almak için harcanan 106 ETH ile BYAC Token'ın satışıyla elde edilen 14 ETH'yi çıkardığınızda), saldırgan yine de kayda değer bir kar elde etti.
Dersler ve Düşünceler
Bu olayın ortaya çıkardığı sorun, APE'nin airdrop mekanizmasının kullanıcıların belirli bir anda varlık sahipliği durumuna aşırı bağımlı olması ve bu durumun kısa vadeli olarak insan tarafından manipüle edilebileceğini göz ardı etmesidir. Manipülasyon maliyeti airdrop ödülünden düşük olduğunda, arbitraj fırsatları ortaya çıkacak ve bu da saldırılara yol açacaktır.
Gelecekte benzer mekanizmalar tasarlanırken, yalnızca bir anlık duruma dayanmak yerine, daha uzun vadeli ve daha istikrarlı kullanıcı davranış göstergelerinin dikkate alınması gerekmektedir. Aynı zamanda, flash loan gibi yeni finansal araçların getirebileceği güvenlik risklerinin değerlendirilmesi ve önlenmesine de önem verilmelidir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
7 Likes
Reward
7
3
Share
Comment
0/400
TokenBeginner'sGuide
· 16h ago
Küçük bir hatırlatma: Flaş Krediler kullanımı %85'i geçti, Çaylakların uzak durması önerilir.
APE Coin Airdrop açığı kullanıldı, Flaş Krediler saldırısı ile 50.000 dolar kar elde edildi.
APE Coin Airdrop açığı istismar olayı analizi
17 Mart 2022'de, APE Coin ile ilgili şüpheli bir işlem sektörün dikkatini çekti. Yapılan araştırmalar, bunun APE Coin'in airdrop mekanizmasındaki bir güvenlik açığı ile ilgili olduğunu ortaya koydu. Saldırgan, akıllıca flash loan kullanarak büyük miktarda APE Coin elde etmeyi başardı.
Analizler, APE Coin'in airdrop uygunluk belirlemesinde tasarım hataları olduğunu göstermektedir. Sistem, kullanıcıların belirli bir anda BYAC NFT'ye sahip olup olmadığını kontrol etmekte, ancak bu anlık durumun insan tarafından manipüle edilebileceğini göz önünde bulundurmamaktadır. Saldırganlar tam olarak bu durumu kullanarak, flash loan aracılığıyla BYAC NFT'nin mülkiyetini geçici olarak elde etmekte ve ardından airdrop ödüllerini almaktadır.
Bu saldırı yöntemi, flash krediye dayalı fiyat manipülasyonu saldırısına oldukça benzemektedir. İkincisinde, akıllı sözleşmeler genellikle bir varlığın anlık fiyatına başka bir varlığın fiyatlandırılması için bağımlıdır ve bu anlık fiyat tam olarak manipüle edilmeye açıktır.
Aşağıda, belirli bir saldırı işlemini analiz ederek süreci ayrıntılı bir şekilde açıklayacağız:
Saldırı Süreci
İlk adım: Hazırlık çalışmaları
Saldırgan, açık piyasadan 1060 numaralı BYAC NFT'sini 106 ETH fiyatıyla satın aldı ve bunu saldırı sözleşmesine transfer etti.
İkinci adım: Flaş kredi al ve BYAC NFT'sini değiştir
Saldırgan, büyük miktarda BYAC Token'ı flash kredi ile borç alarak, ardından bu token'ları 5 adet BYAC NFT'ye (sırasıyla 7594, 8214, 9915, 8167 ve 4755 numaralı) dönüştürdü.
Üçüncü adım: Airdrop ödüllerini alın
Saldırgan, 6 adet BYAC NFT (önceden satın alınan 1060 numaralı ve yeni takas edilen 5 adet dahil) kullanarak 60,564 adet APE token'ı airdrop ödülü olarak başarıyla aldı.
Dördüncü adım: Flash loan geri ödemek için BYAC NFT'yi mintlemek
Kullanılan BYAC Token'ı geri ödemek için, saldırgan yeni aldığı BYAC NFT'yi BYAC Token olarak yeniden mint etti. Aynı zamanda, sahip olduğu 1060 numaralı NFT'yi de mint ederek ek BYAC Token elde etti ve bu sayede ani kredi ücreti ödedi. Son olarak, saldırgan kalan BYAC Token'ları piyasada satarak yaklaşık 14 ETH kazandı.
Saldırı Geliri
Bu işlemle birlikte, saldırgan toplam 60,564 APE token elde etti ve o sırada piyasa değeri yaklaşık 500,000 dolardı. Saldırı maliyetini (106. NFT'yi satın almak için harcanan 106 ETH ile BYAC Token'ın satışıyla elde edilen 14 ETH'yi çıkardığınızda), saldırgan yine de kayda değer bir kar elde etti.
Dersler ve Düşünceler
Bu olayın ortaya çıkardığı sorun, APE'nin airdrop mekanizmasının kullanıcıların belirli bir anda varlık sahipliği durumuna aşırı bağımlı olması ve bu durumun kısa vadeli olarak insan tarafından manipüle edilebileceğini göz ardı etmesidir. Manipülasyon maliyeti airdrop ödülünden düşük olduğunda, arbitraj fırsatları ortaya çıkacak ve bu da saldırılara yol açacaktır.
Gelecekte benzer mekanizmalar tasarlanırken, yalnızca bir anlık duruma dayanmak yerine, daha uzun vadeli ve daha istikrarlı kullanıcı davranış göstergelerinin dikkate alınması gerekmektedir. Aynı zamanda, flash loan gibi yeni finansal araçların getirebileceği güvenlik risklerinin değerlendirilmesi ve önlenmesine de önem verilmelidir.