加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

被薅了 APE 空投漏洞簡析_YAC:NFT幣走勢

Author:

Time:1900/1/1 0:00:00

北京時間2022年3月17日,我們的系統監控到涉及APECoin的可疑交易,根據twitter用戶WillSheehan的報告,套利機器人通過閃電貸薅羊毛,拿到6W多APECoin。

我們經過分析后,發現這和APECoin的空投機制存在漏洞有關。具體來說,APECoin決定能否空投取決于某一個用戶是否持有BYACNFT的瞬時狀態,而這個瞬時狀態攻擊者是可以通過借入閃電貸然后redeem獲得BYACNFT來操縱的。攻擊者首先通過閃電貸借入BYACToken,然后redeem獲得BYACNFT。然后使用這一些NFT來claim空投的APE,最后將BYACNFTmint獲得BYACToken用來返還閃電貸。我們認為這個模式同基于閃電貸的價格操縱攻擊非常類似。

HashKey Capital與萬向區塊鏈實驗室發起Web3.0創新孵化平臺Future3 Campus:5月30日消息,HashKey Capital與萬向區塊鏈實驗室宣布聯合發起Web3.0創新孵化平臺Future3 Campus,重點聚焦Web3.0 Massive Adoption、DePIN、AI三大賽道,以上海、粵港澳大灣區、新加坡為主要孵化基地,輻射全球Web3.0生態。Future3 Campus將推出首期5000萬美元的種子基金用于Web3.0項目孵化。[2023/5/30 11:47:45]

接下來,我們使用一個攻擊交易(https://versatile.blocksecteam.com/tx/eth/0xeb8c3bebed11e2e4fcd30cbfc2fb3c55c4ca166003c7f7d319e78eaab9747098)來簡述整個過程。

推特新任CEO已在社交媒體關注狗狗幣和Shiba Inu相關賬戶:5月15日消息,推特新任首席執行官Linda Yaccarino已在社交媒體上關注了狗狗幣(Dogecoin)和Shiba Inu主賬戶和一些附屬賬戶,此外她還在推特上關注了多個狗狗幣社區的核心貢獻者,包括狗狗幣項目聯合創始人Billy Markus、自托管狗狗幣錢包MyDoge創建者@DogeDesigner、以及狗狗幣布道者Sir Doge of the Coin。Linda Yaccarino曾公開支持開源編碼和數字透明度,不過截至目前她尚未公開評論狗狗幣和其他加密貨幣在推特上可能扮演的角色。(Decrypt)[2023/5/15 15:02:51]

StepI:攻擊準備

美聯儲2月加息25BP的概率為99.7%:金色財經報道,據CME“美聯儲觀察”:美聯儲2月加息25個基點至4.50%-4.75%區間的概率為99.7%,加息50個基點的概率為0.3%;到3月累計加息25個基點的概率為18.8%,累計加息50個基點的概率為81.0%,累計加息75個基點的概率為0.3%。[2023/1/23 11:26:34]

DeFi借貸協議OpenLeverage將于今日18時開啟Token空投申領:7月7日,據官方消息,DeFi 借貸協議 OpenLeverage 將于北京時間今日 18 時開啟申領從交易與借貸活動空投中獲得的 OLE Token,并開放 Token 流通。據悉,OpenLeverage 是 Binance Labs 第 4 季孵化計劃中的 DeFi 項目。

此前消息,Binance Labs 宣布戰略投資 OpenLeverage。[2022/7/7 1:56:55]

攻擊者購買了編號1060的BYACNFT并且轉移給攻擊合約。這個NFT是攻擊者花了106ETH在公開市場購買的。

StepII:借入閃電貸并且redeem成BYACNFT

攻擊者通過閃電貸借入大量的BYACToken。在這個過程中,攻擊者通過redeemBYACtoken獲得了5個BYACNFT。

StepIII:通過BYACNFT領取空投獎勵

在這個過程中,攻擊者使用了6個NFT來領取空投。1060是其購買,其余5個是在上一步獲得。通過空投,攻擊者共計獲得60,564APEtokens獎勵。

StepIV:mintBYACNFT獲得BYACToken

攻擊者需要歸還借出的BYACToken。因此它將獲得BYACNFTmint獲得BYACToken。這個過程中,他還將其自己的編號為1060NFT也進行了mint。這是因為需要額外的BYACToken來支付閃電貸的手續費。然后將還完手續費后的BYACToken賣出獲得14ETH。

獲利

攻擊者獲得60,564APEtoken,價值50W美金。其攻擊成本為1060NFT減去售賣BYACToken得到的14ETH。

Lessons

我們認為問題根源在于APE的空投只考慮瞬時狀態。而這個假定是非常脆弱的,很容易被攻擊者操控。如果攻擊者操控狀態的成本小于獲得的APE空投的獎勵,那么就會創造一個實際的攻擊機會。

Tags:YACNFTKENTOKPayacceptNFT幣走勢FNDZ TokenJinbi Token

抹茶交易所
QQ 逐漸元宇宙化 只因有了自己的“張小龍”?_元宇宙:INT

最近,QQ上線了一個叫做“超級QQ秀”的新功能。你可以把它理解成是QQ秀的升級版。打開手機QQ,點擊右上方加號旁邊的按鈕就可以進入超級QQ秀界面,用戶可以設置自己的虛擬形象,包括服裝、發型和配飾.

1900/1/1 0:00:00
Meebits老鼠倉?BAYC收購的消息提前泄露了嗎?_MEE:bitstamp可以交易泰達幣嗎

3月15日,專注于Web3的爆料賬號NFTEthics在社交媒體上發布若干購買記錄和地址,一系列證據直指有人在BAYC母公司YugaLabs收購CryptoPunks和Meebits之前就得知這.

1900/1/1 0:00:00
烏克蘭實現加密行業合法化_虛擬資產:加密貨幣和數字貨幣的區別和聯系

北京時間3月16日晚11時許,烏克蘭數字化轉型部的官方推特宣布,烏克蘭已將加密行業合法化,總統弗拉基米爾·澤連斯基正式簽署了一項「關于虛擬資產」的法律,海外和本國的加密資產企業將合法運營.

1900/1/1 0:00:00
晚間必讀5篇 | DAO在2022年需要克服的5個挑戰_數字資產:VIDT DAO

1.金色前哨|拜登發布數字資產行政令看看各界怎么熱議的美國當地時間2022年3月9日,美國總統拜登正式簽署數字資產行政令,并在美國白宮官網發布行政令全文。數字資產行政令發布后,被各界人士熱議.

1900/1/1 0:00:00
越南加密繁榮:抱團取暖、潛力股GameFi和灰色地帶_加密貨幣:COIN

原文標題:《ExplainingVietnam’scryptoboom》NamNguyen于2021年3月加入加密熱潮,并且已經投資了約3000美元了.

1900/1/1 0:00:00
Web3.0對預言機的要求:去中心化、多層加密安全性_穩定幣:WEB3

探索去中心化預言機在保護區塊鏈外部數據和維持穩定幣價格掛鉤方面的作用。 目錄 去中心化Web3:加密真相和透明度穩定幣發行:DeFivs.CeFi使用去中心化的預言機進行儲備審計和重新定位算法穩.

1900/1/1 0:00:00
ads