以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

被薅了 APE 空投漏洞簡析_NFT:FEB Token

Author:

Time:1900/1/1 0:00:00

北京時間2022年3月17日,我們的系統監控到涉及APE Coin的可疑交易,根據twitter用戶Will Sheehan的報告,套利機器人通過閃電貸薅羊毛,拿到6W多APE Coin(每個價值8美元)。

我們經過分析后,發現這和APE Coin的空投機制存在漏洞有關。具體來說,APE Coin決定能否空投取決于某一個用戶是否持有BYAC NFT的瞬時狀態,而這個瞬時狀態攻擊者是可以通過借入閃電貸然后redeem獲得BYAC NFT來操縱的。攻擊者首先通過閃電貸借入BYAC Token,然后redeem獲得BYAC NFT。然后使用這一些NFT來claim空投的APE,最后將BYAC NFT mint獲得BYAC Token用來返還閃電貸。我們認為這個模式同基于閃電貸的價格操縱攻擊非常類似(合約通過一個資產的瞬時價格來對另外一個資產進行定價,而這個瞬時價格可以被操控)。

Coinbase:所有USDC余額均可賺取4%獎勵:金色財經報道,Coinbase表示,我們根據高級交易社區的反饋,宣布對Coinbase Advanced進行一系列改進,目標是為更全面、更直觀的獨立體驗奠定基礎。值得注意的是,我們增強了Coinbase的用戶體驗和功能,其中包括237個新的USDC交易對、所有USDC余額均可賺取4% USDC獎勵。國際交易者一直要求能夠在我們高度流動的美元市場進行交易,而無需參與多步驟流程,因此我們統一了美元和USDC訂單簿。現在,他們可以通過USDC進行結算,在237個高流動性的美元市場進行交易,而美國交易者可以通過一個余額與任何現有237美元貨幣對進行USDC交易。此外,所有交易者現在可以通過他們在Coinbase上持有的USDC或未結訂單中使用的任何USDC賺取高達4%的獎勵。[2023/6/30 22:09:11]

接下來,我們使用一個攻擊交易(https://versatile.blocksecteam.com/tx/eth/0xeb8c3bebed11e2e4fcd30cbfc2fb3c55c4ca166003c7f7d319e78eaab9747098)來簡述整個過程。

數據:近24小時全網爆倉1.39億美元:金色財經報道,據Coinglass數據,近24小時全網爆倉1.39億美元,其中以太坊爆倉759.5萬美元,比特幣爆倉367.16萬美元。[2022/9/24 7:18:01]

攻擊者購買了編號1060的BYAC NFT并且轉移給攻擊合約。這個NFT是攻擊者花了106 ETH在公開市場購買的。

Wsj.eth以16 ETH價格成交:金色財經報道,據以太坊域名服務交易數據顯示,wsj.eth已經以16 ETH的價格成交,約合 20,985.44 美元。據悉,買家是一個“0xC10c7a”開頭的新錢包地址,目前尚無法確定該買家是否是《華爾街日報》。[2022/9/24 7:17:41]

攻擊者通過閃電貸借入大量的BYAC Token。在這個過程中,攻擊者通過redeem BYAC token獲得了5個BYAC NFT(編號 7594,8214,9915,8167,4755)。

在這個過程中,攻擊者使用了6個NFT來領取空投。1060是其購買,其余5個是在上一步獲得。通過空投,攻擊者共計獲得60,564 APE tokens獎勵。

攻擊者需要歸還借出的BYAC Token。因此它將獲得BYAC NFT mint獲得BYAC Token。這個過程中,他還將其自己的編號為1060 NFT也進行了mint。這是因為需要額外的BYAC Token來支付閃電貸的手續費。然后將還完手續費后的BYAC Token賣出獲得14 ETH。

攻擊者獲得60,564 APE token,價值50W美金。其攻擊成本為1060 NFT(106ETH)減去售賣BYAC Token得到的14ETH。

我們認為問題根源在于APE的空投只考慮瞬時狀態(NFT是否在某一個時刻被某一個用戶持有)。而這個假定是非常脆弱的,很容易被攻擊者操控。如果攻擊者操控狀態的成本小于獲得的APE空投的獎勵,那么就會創造一個實際的攻擊機會。

Tags:YACNFTKENTOKEAryacoinNFT-DAOFEB Tokenmoktoken

芝麻開門交易所下載
美聯儲啟動三年多來首次加息 縮表最快5月開始_PCE:ASM

美國聯邦儲備委員會16日宣布將聯邦基金利率目標區間上調25個基點到0.25%至0.5%的水平,符合市場預期。這是美聯儲自2018年12月以來首次加息.

1900/1/1 0:00:00
DAO 如何讓投資者更容易接觸元宇宙中的數字土地?_元宇宙:元宇宙app下載安卓

隨著元宇宙不斷成熟,去中心化自治組織(DAO)正在圍繞利用和投資元宇宙的前景而團結起來。看到高盛對該行業的估值為8萬億美元,人們開始關注這些虛擬世界的可訪問性、可用性和貨幣化的可能性.

1900/1/1 0:00:00
以太坊倫敦升級后 Gas 費的數據變化_以太坊:BPRIVA

隨著 DeFi 的升溫,NFT 和 GameFi 也大火,以太坊上的 Gas 費水漲船高,其他公鏈針對其痛點爭相上線.

1900/1/1 0:00:00
加密領域女性人數不多的 6 個原因_DAO:Church Dao

加入 BanklessDAO 后不久,我成為了作家協會的人才探員。我與數百名有興趣加入公會的人進行了交談,其中,我一方面可以數出女性的數量.

1900/1/1 0:00:00
晚間必讀5篇 | AC留下的DeFi殘局:APY成癮_DEF:DefiCliq

1.從概念到落地 Web3.0初具雛形由區塊鏈網絡帶來的基礎設施正在完善,比如加密錢包取代賬戶注冊,成為通往去中心化網絡及其應用的新入口,它也是Web3.0的基建之一.

1900/1/1 0:00:00
俄烏戰爭進行時 NFT成為「援烏」工具_NFT:Brainaut Defi

俄烏沖突以來,除了加密資產BTC、ETH成為支援烏克蘭戰事?的資金外,非同質化代幣NFT也開始成為「援烏」工具.

1900/1/1 0:00:00
ads