月亮链 月亮链
Ctrl+D收藏月亮链

YAC:被薅了 APE 空投漏洞简析_Yacht Coin

作者:

时间:1900/1/1 0:00:00

北京时间2022年3月17日,我们的系统监控到涉及APE Coin的可疑交易,根据twitter用户Will Sheehan的报告,套利机器人通过闪电贷薅羊毛,拿到6W多APE Coin(每个价值8美元)。

我们经过分析后,发现这和APE Coin的空投机制存在漏洞有关。具体来说,APE Coin决定能否空投取决于某一个用户是否持有BYAC NFT的瞬时状态,而这个瞬时状态攻击者是可以通过借入闪电贷然后redeem获得BYAC NFT来操纵的。攻击者首先通过闪电贷借入BYAC Token,然后redeem获得BYAC NFT。然后使用这一些NFT来claim空投的APE,最后将BYAC NFT mint获得BYAC Token用来返还闪电贷。我们认为这个模式同基于闪电贷的价格操纵攻击非常类似(合约通过一个资产的瞬时价格来对另外一个资产进行定价,而这个瞬时价格可以被操控)。

Cardano生态去中心化稳定币系统Ardana将停止开发:金色财经报道,基于Cardano的去中心化稳定币系统Ardana发推表示,由于资金和项目时间表的不确定性,Ardana将停止开发。

Ardana认为,Cardano生态大量资金用于工具、基础设施和安全,项目开发存在不确定性,团队不得不停止开发dUSD。此后,Ardana将继续开放源代码,剩余资金和金库余额等将由Ardana Labs持有,当社区中出现有开发能力等团队时,Ardana将继续工作。

此前去年10月份消息,Ardana完成由三箭资本领投的1000万美元融资。[2022/11/24 8:03:18]

接下来,我们使用一个攻击交易(https://versatile.blocksecteam.com/tx/eth/0xeb8c3bebed11e2e4fcd30cbfc2fb3c55c4ca166003c7f7d319e78eaab9747098)来简述整个过程。

FTX 9月底所持有加密货币的公允价值仅为659,000美元:11月21日消息,根据破产法庭文件显示,截至 2022 年 9 月底,FTX International 所持有加密货币的总公允价值仅为 659,000 美元,而其创始人 SBF 却声称该公司持有价值 55 亿美元的“低流动性”加密货币。(Business Insider)[2022/11/21 7:53:02]

攻击者购买了编号1060的BYAC NFT并且转移给攻击合约。这个NFT是攻击者花了106 ETH在公开市场购买的。

币安在FTX事件中的作用已受到美国国会审查:金色财经报道,美国资深众议院共和党人Patrick McHenry向The Block证实,币安在FTX突然崩盘中所扮演的角色已经受到美国国会的审查,因为FTX事件在加密货币市场引起剧震,他说,“这很严重。我认为这是一件大事”。McHenry可能成为众议院金融服务委员会的下一任主席,他还表示,币安在此次事件中的角色将成为12月FTX听证会的焦点之一。[2022/11/17 13:14:01]

攻击者通过闪电贷借入大量的BYAC Token。在这个过程中,攻击者通过redeem BYAC token获得了5个BYAC NFT(编号 7594,8214,9915,8167,4755)。

在这个过程中,攻击者使用了6个NFT来领取空投。1060是其购买,其余5个是在上一步获得。通过空投,攻击者共计获得60,564 APE tokens奖励。

攻击者需要归还借出的BYAC Token。因此它将获得BYAC NFT mint获得BYAC Token。这个过程中,他还将其自己的编号为1060 NFT也进行了mint。这是因为需要额外的BYAC Token来支付闪电贷的手续费。然后将还完手续费后的BYAC Token卖出获得14 ETH。

攻击者获得60,564 APE token,价值50W美金。其攻击成本为1060 NFT(106ETH)减去售卖BYAC Token得到的14ETH。

我们认为问题根源在于APE的空投只考虑瞬时状态(NFT是否在某一个时刻被某一个用户持有)。而这个假定是非常脆弱的,很容易被攻击者操控。如果攻击者操控状态的成本小于获得的APE空投的奖励,那么就会创造一个实际的攻击机会。

标签:YACNFTDANKENYacht CoinNFTY价格JORDANTokencan

火币交易所热门资讯
PLA:浅谈当前玩赚公会设计的优缺点 以及改进建议_YFI

在过去一年的时间里,加密货币领域的公会生态系统发展迅速,它从一个简单的想法发展到了一个寻求参与所有权经济的多样化团体集合.

1900/1/1 0:00:00
元宇宙:元宇宙商标“争夺战”_MUST

2021年元宇宙、数字人、虚拟世界等概念大火后,大厂品牌们纷纷布局元宇宙,除了沉浸式场景化打造、布局数字人及关于元宇宙更横向的扩展,商标的注册也成为了更多企业的争夺场.

1900/1/1 0:00:00
NFT:金色Web3.0日报 | GameStop的NFT市场已上线测试版_MINE

1.DeFi代币总市值:1242.41亿美元 DeFi总市值 数据来源:coingecko2.过去24小时去中心化交易所的交易量:37.

1900/1/1 0:00:00
OpenSea:当OpenSea不再Open时 我们还应该继续沉默么?_CENS币

OpenSea 因地缘问题封禁多国用户Parin 获 OpenSea 解禁,故事并未结束压迫与反抗去中心化迷思OpenSea 因地缘问题封禁多国用户前言: 权力之间可以以一切方式进行争斗.

1900/1/1 0:00:00
WEB:姚前:Web3.0 渐行渐近的新一代互联网_数字资产

导读:如今互联网正处在Web2.0向Web3.0演进的重要时点,加强Web3.0前瞻研究和战略预判,对我国未来互联网基础设施建设无疑具有重要意义.

1900/1/1 0:00:00
区块链:金色观察|一文读懂Fantom网络的设计原理_fantomGO

Fantom是一个高性能、可扩展、兼容EVM且安全的智能合约平台。Fantom的主网部署Fantom?Opera建立在Fantom的共识机制Lachesis之上.

1900/1/1 0:00:00