北京时间2022年3月17日,我们的系统监控到涉及APECoin的可疑交易,根据twitter用户WillSheehan的报告,套利机器人通过闪电贷薅羊毛,拿到6W多APECoin。
我们经过分析后,发现这和APECoin的空投机制存在漏洞有关。具体来说,APECoin决定能否空投取决于某一个用户是否持有BYACNFT的瞬时状态,而这个瞬时状态攻击者是可以通过借入闪电贷然后redeem获得BYACNFT来操纵的。攻击者首先通过闪电贷借入BYACToken,然后redeem获得BYACNFT。然后使用这一些NFT来claim空投的APE,最后将BYACNFTmint获得BYACToken用来返还闪电贷。我们认为这个模式同基于闪电贷的价格操纵攻击非常类似。
OKX Web3钱包插件端上线批量添加账户、批量转账等功能:据官方消息,OKX Web3钱包插件端正式上线便捷工具功能,支持用户批量添加账户、批量转账、以及下载钱包地址。其中,批量转账功能提供了转账网络、转账币种、转账数量、转账时间、以及网络费用等多种选择,从而满足用户对Web3钱包的多样化需求。
据了解,OKX Web3钱包是一款异构多链钱包,已支持近60公链,App、插件、网页三端统一,涵盖钱包、DEX、赚币、NFT市场、DApp探索5大板块。此外,OKX Web3钱包即将支持Ordinals NFT交易。[2023/6/6 21:18:43]
接下来,我们使用一个攻击交易(https://versatile.blocksecteam.com/tx/eth/0xeb8c3bebed11e2e4fcd30cbfc2fb3c55c4ca166003c7f7d319e78eaab9747098)来简述整个过程。
CZ:个人没有深入参与BNB Chain的研发是希望能维持去中心化:3月8日消息,Binance 创始人 CZ 在 AMA 中发言表示,个人没有深入参与 BNB Chain 研发的原因之一是因为希望 BNB Chain 维持去中心化,自己平常更专注于处理 CEX 的事,未来有充裕时间也会关注 BNB 生态。[2023/3/8 12:49:54]
StepI:攻击准备
英国央行可能将限制个人持有的数字英镑不能超过1万英镑:金色财经报道,英国公民的数字英镑个人持有量可能将被限制在 1 万英镑,因为英国央行试图避免新的中央银行数字货币破坏银行体系。此外,英国央行倾向于集中数据库运行 SBDC 而非区块链,央行发表的一篇技术论文称,分布式账本技术和基于区块链的解决方案可能在保证一致性和弹性方面具有优势,但它们也带来了隐私、可扩展性和安全性方面的挑战。中央管理的分布式数据库技术可以在没有此类限制的情况下满足分类账的要求。[2023/2/7 11:52:48]
攻击者购买了编号1060的BYACNFT并且转移给攻击合约。这个NFT是攻击者花了106ETH在公开市场购买的。
加密做市商Wintermute在危机爆发前就已将资金从美国FTX转移:金色财经报道,加密做市商Wintermute在危机爆发前就将资金从美国FTX转移走了。[2022/11/12 12:53:13]
StepII:借入闪电贷并且redeem成BYACNFT
攻击者通过闪电贷借入大量的BYACToken。在这个过程中,攻击者通过redeemBYACtoken获得了5个BYACNFT。
StepIII:通过BYACNFT领取空投奖励
在这个过程中,攻击者使用了6个NFT来领取空投。1060是其购买,其余5个是在上一步获得。通过空投,攻击者共计获得60,564APEtokens奖励。
StepIV:mintBYACNFT获得BYACToken
攻击者需要归还借出的BYACToken。因此它将获得BYACNFTmint获得BYACToken。这个过程中,他还将其自己的编号为1060NFT也进行了mint。这是因为需要额外的BYACToken来支付闪电贷的手续费。然后将还完手续费后的BYACToken卖出获得14ETH。
获利
攻击者获得60,564APEtoken,价值50W美金。其攻击成本为1060NFT减去售卖BYACToken得到的14ETH。
Lessons
我们认为问题根源在于APE的空投只考虑瞬时状态。而这个假定是非常脆弱的,很容易被攻击者操控。如果攻击者操控状态的成本小于获得的APE空投的奖励,那么就会创造一个实际的攻击机会。
标签:YACNFTTOKENKENYACHTnft币最新消息及前景BoatPilot TokenGengar Token
如果没有意外,这也将是国内第一支元宇宙基金。千呼万唤始出来,北京第一支元宇宙母基金要来了。投资界—解码LP从北京市通州区金融办平台获悉,经区政府同意,印发《关于加快北京城市副中心元宇宙创新引领发.
1900/1/1 0:00:00中国央行金融稳定局3日发文称,中共十九大以来防范化解金融风险取得重要成果,其中包括全面清理整顿金融秩序.
1900/1/1 0:00:00随着加密领域尤其是NFT的迅速发展,越来越多行业开始关注加密领域,并付诸于实际参与行动。尤其是游戏和音乐行业,在过去一年中,有众多游戏和音乐与NFT跨界融合的案例,然而面对NFT这一新兴形式,对.
1900/1/1 0:00:002020年开始,新冠疫情席卷全球,对世界范围内各领域的经济造成严重冲击,尤其对于旅游业这类以线下形式为主的经济体。虽然全球旅游经济逐渐呈现复苏态势,但目前复苏的程度和进度还较为缓慢.
1900/1/1 0:00:00自从去年11月美联储放出风声要加息,加密市场已经持续下跌4个月。而再有4天左右,美联储2022年第二次议息会议就要召开,此次会议市场普遍预期加息会落地,在此大背景下,加密市场继续走低.
1900/1/1 0:00:00《2022元宇宙产业趋势报告》,将元宇宙发展理论与产业实际发展状况相结合,深度解读元宇宙产业发展的形势,并为元宇宙产业未来发展趋势把脉,向元宇宙企业高管、领域专家、投资者等读者提供专业参考.
1900/1/1 0:00:00