北京時間2022年3月17日,我們的系統監控到涉及APECoin的可疑交易,根據twitter用戶WillSheehan的報告,套利機器人通過閃電貸薅羊毛,拿到6W多APECoin。
我們經過分析后,發現這和APECoin的空投機制存在漏洞有關。具體來說,APECoin決定能否空投取決于某一個用戶是否持有BYACNFT的瞬時狀態,而這個瞬時狀態攻擊者是可以通過借入閃電貸然后redeem獲得BYACNFT來操縱的。攻擊者首先通過閃電貸借入BYACToken,然后redeem獲得BYACNFT。然后使用這一些NFT來claim空投的APE,最后將BYACNFTmint獲得BYACToken用來返還閃電貸。我們認為這個模式同基于閃電貸的價格操縱攻擊非常類似。
Coin Loan:正準備法院要求的文件和信息,以撤銷法院對平臺的限制通知:5月6日消息,加密借貸平臺Coin Loan昨日發推文稱:“我們的法律團隊與案件的所有各方保持直接聯系,包括我們的律師和臨時受托人,旨在在規定的截止日期前提交愛沙尼亞法院要求的所有信息和文件以結案。這些文件應提供并證明撤銷2023年4月24日收到的限制通知的合理和詳盡的法律和財務理由。向法院提交這些文件的截止日期是2023年5月19日。在此之前,我們預計不會有任何實質性的進展。”
此前消息,加密借貸平臺Coin Loan暫停含提款的所有用戶服務,并暗示正在走破產程序。[2023/5/6 14:46:43]
接下來,我們使用一個攻擊交易(https://versatile.blocksecteam.com/tx/eth/0xeb8c3bebed11e2e4fcd30cbfc2fb3c55c4ca166003c7f7d319e78eaab9747098)來簡述整個過程。
數據:持有超過10枚以太坊的地址數量創歷史新高:1月8日消息,Glassnode數據顯示,持有超過10枚以太坊的地址數量達到352360個,創歷史新高。[2023/1/8 11:00:33]
StepI:攻擊準備
攻擊者購買了編號1060的BYACNFT并且轉移給攻擊合約。這個NFT是攻擊者花了106ETH在公開市場購買的。
MASK現報價3.168美元,24小時漲幅31.54%:11月2日消息,據行情數據顯示,MASK 現報價 3.168 美元,24 小時漲幅 31.54%。
此前消息,Binance 期貨將于北京時間 11 月 2 日 20:00 上線 Binance 藍鳥指數永續合約。該指數是追蹤 BNB、DOGE 和 MASK 的新加密貨幣價格指數。[2022/11/2 12:07:55]
NBA球星杜蘭特提交26項元宇宙與NFT商標申請:金色財經報道,美國國家籃球協會(NBA)布魯克林網隊的職業籃球運動員凱文·杜蘭特與他的風險投資公司Thirty Five Ventures LLC一起,于5月19日向美國專利和商標局(USPTO)提交了多達26項元宇宙與NFT商標申請。(finbold)[2022/5/24 3:38:46]
StepII:借入閃電貸并且redeem成BYACNFT
攻擊者通過閃電貸借入大量的BYACToken。在這個過程中,攻擊者通過redeemBYACtoken獲得了5個BYACNFT。
StepIII:通過BYACNFT領取空投獎勵
在這個過程中,攻擊者使用了6個NFT來領取空投。1060是其購買,其余5個是在上一步獲得。通過空投,攻擊者共計獲得60,564APEtokens獎勵。
StepIV:mintBYACNFT獲得BYACToken
攻擊者需要歸還借出的BYACToken。因此它將獲得BYACNFTmint獲得BYACToken。這個過程中,他還將其自己的編號為1060NFT也進行了mint。這是因為需要額外的BYACToken來支付閃電貸的手續費。然后將還完手續費后的BYACToken賣出獲得14ETH。
獲利
攻擊者獲得60,564APEtoken,價值50W美金。其攻擊成本為1060NFT減去售賣BYACToken得到的14ETH。
Lessons
我們認為問題根源在于APE的空投只考慮瞬時狀態。而這個假定是非常脆弱的,很容易被攻擊者操控。如果攻擊者操控狀態的成本小于獲得的APE空投的獎勵,那么就會創造一個實際的攻擊機會。
Tags:YACNFTTOKENTOKEYachtingVerseINFTEE價格FamilyTokenvethor-token
流動性挖礦涉及在智能合約中存入加密資產,以換取收益 流動性挖礦可能涉及相當大的風險。本文僅用于教育目的,不應被視為財務建議。在做出任何投資決定之前,請考慮您的個人風險狀況.
1900/1/1 0:00:00該活動是通過Copper的LBP進行的,確保通證以更公平的方式分配,這符合使DeFi更加公平Minterest精神.
1900/1/1 0:00:001.前言 北京時間2022年3月15日,知道創宇區塊鏈安全實驗室監測到DeusFinance遭到黑客攻擊,損失約300萬美元。本文,知道創宇區塊鏈安全實驗室對本次事件進行了全面分析.
1900/1/1 0:00:00世界各地的音樂家也開始擁抱這一創新媒介形式,為音樂產業注入新的活力。從未發行的曲目到獨家完整的專輯,藝術家們現在可以直接以NFT的形式發布他們的歌曲,并直接從他們的粉絲那里獲得收入,沒有任何中間.
1900/1/1 0:00:002021年是加密市場創紀錄的一年,投資機構和散戶都或多或少受益。對于大多數分析師和行業人士而言,2022年將是加密資產采用率增加的又一年,無論是在其作為投資工具和通脹對沖的潛力方面,還是在其細分.
1900/1/1 0:00:00“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.
1900/1/1 0:00:00