YAC:詳解APE空投漏洞

北京時間2022年3月17日，我們的系統監控到涉及APECoin的可疑交易，根據twitter用戶WillSheehan的報告，套利機器人通過閃電貸薅羊毛，拿到6W多APECoin。

我們經過分析后，發現這和APECoin的空投機制存在漏洞有關。具體來說，APECoin決定能否空投取決于某一個用戶是否持有BYACNFT的瞬時狀態，而這個瞬時狀態攻擊者是可以通過借入閃電貸然后redeem獲得BYACNFT來操縱的。攻擊者首先通過閃電貸借入BYACToken，然后redeem獲得BYACNFT。然后使用這一些NFT來claim空投的APE，最后將BYACNFTmint獲得BYACToken用來返還閃電貸。我們認為這個模式同基于閃電貸的價格操縱攻擊非常類似。

知情人士：Binance.US與SEC的擬議協議已獲聯邦法官簽署:6月17日消息，前SEC互聯網執法辦公室主任John Reed Stark發推稱，Binance.US與SEC的擬議協議已獲聯邦法官簽署。

此前消息，Binance、Binance.US和美國SEC宣布一項協議，以確保只有Binance.US員工才能訪問客戶資金。擬議協議仍需要監督此案的聯邦法官簽署。[2023/6/18 21:44:19]

接下來，我們使用一個攻擊交易(https://versatile.blocksecteam.com/tx/eth/0xeb8c3bebed11e2e4fcd30cbfc2fb3c55c4ca166003c7f7d319e78eaab9747098)來簡述整個過程。

穩定幣TUSD上線OKX穩定幣閃兌專區:據OKX公告，9月23日15:00（HKT）OKX上線TUSD穩定幣閃兌功能。用戶可以在TUSD和USDC之間進行1:1固定匯率兌換，兌換過程0滑點、0手續費。

TrueUSD（TUSD）是首個經獨立機構驗證、接受鏈上實時獨立驗證、錨定美元的數字資產，目前已上線Binance、Huobi、Poloniex等100多家交易平臺，并在Ethereum、TRON、Avalanche、BNB Chain、Fantom、Polygon等12大主流公鏈上進行多鏈部署。TrueUSD經全美最大會計公司之一的Armanino實時審計，確保美元儲備與其流通比達到1:1，實現100%儲備，用戶可隨時通過官網tusd.io獲取公開審計結果。[2022/9/23 7:16:40]

StepI:攻擊準備

第三大比特幣巨鯨今日增持565枚BTC:6月23日消息，Tokenview數據顯示，比特幣第三大巨鯨（1P5ZEDWTKTFGxQjZphgWPQUpe554WKDfHQ）于6月23日05:54:30繼續增持565枚BTC。目前該地址共持有129,936.54BTC，總價值約為2,643,688,842.84美元。[2022/6/23 1:26:42]

攻擊者購買了編號1060的BYACNFT并且轉移給攻擊合約。這個NFT是攻擊者花了106ETH在公開市場購買的。

StepII:借入閃電貸并且redeem成BYACNFT

攻擊者通過閃電貸借入大量的BYACToken。在這個過程中，攻擊者通過redeemBYACtoken獲得了5個BYACNFT。

StepIII:通過BYACNFT領取空投獎勵

在這個過程中，攻擊者使用了6個NFT來領取空投。1060是其購買，其余5個是在上一步獲得。通過空投，攻擊者共計獲得60,564APEtokens獎勵。

StepIV:mintBYACNFT獲得BYACToken

攻擊者需要歸還借出的BYACToken。因此它將獲得BYACNFTmint獲得BYACToken。這個過程中，他還將其自己的編號為1060NFT也進行了mint。這是因為需要額外的BYACToken來支付閃電貸的手續費。然后將還完手續費后的BYACToken賣出獲得14ETH。

獲利

攻擊者獲得60,564APEtoken,價值50W美金。其攻擊成本為1060NFT減去售賣BYACToken得到的14ETH。

Lessons

我們認為問題根源在于APE的空投只考慮瞬時狀態。而這個假定是非常脆弱的，很容易被攻擊者操控。如果攻擊者操控狀態的成本小于獲得的APE空投的獎勵，那么就會創造一個實際的攻擊機會。

Tags：YACNFTTOKEKENyac幣是區塊鏈嗎KAMAX Vault (NFTX)ArchAngel Tokentokenpocket幣被轉走了

幣贏