YAC:詳解APE空投漏洞-ODAILY_TOK

Author：

Time：1900/1/1 0:00:00

北京時間2022年3月17日，我們的系統監控到涉及APECoin的可疑交易，根據twitter用戶WillSheehan的報告，套利機器人通過閃電貸薅羊毛，拿到6W多APECoin。

我們經過分析后，發現這和APECoin的空投機制存在漏洞有關。具體來說，APECoin決定能否空投取決于某一個用戶是否持有BYACNFT的瞬時狀態，而這個瞬時狀態攻擊者是可以通過借入閃電貸然后redeem獲得BYACNFT來操縱的。攻擊者首先通過閃電貸借入BYACToken，然后redeem獲得BYACNFT。然后使用這一些NFT來claim空投的APE，最后將BYACNFTmint獲得BYACToken用來返還閃電貸。我們認為這個模式同基于閃電貸的價格操縱攻擊非常類似。

Gem更名OpenSea Pro，新版官網上線:4月5日消息，Gem宣布更名OpenSea Pro，并上線新版官網。官網表示，OpenSea Pro仍在追蹤用戶在平臺上的活動，并將持續“記分”。新版官網上線后，OpenSea Pro增加了指定地址的交易量gas消耗查詢功能。

2022年4月，OpenSea宣布收購Gem，收購完成后Gem作為獨立的產品和品牌繼續獨立于 OpenSea運營。[2023/4/5 13:45:16]

接下來，我們使用一個攻擊交易(https://versatile.blocksecteam.com/tx/eth/0xeb8c3bebed11e2e4fcd30cbfc2fb3c55c4ca166003c7f7d319e78eaab9747098)來簡述整個過程。

《中國檢察官》：虛擬貨幣屬于刑法上的“財物” 應予以保護:金色財經報道，《中國檢察官》官方公眾號發文稱，虛擬貨幣作為一種特殊的虛擬財產，符合“財物”特征，應當評價為刑法上的財產犯罪對象。國家對虛擬貨幣相關業務活動采取了更加嚴格的管控政策，否定了虛擬貨幣的“貨幣”屬性，但從未否定虛擬貨幣的“財物”屬性。民事法律行為效力判斷和認定標準與刑法保護“財物”的判斷認定標準并無理論關聯，涉虛擬貨幣合同有效與否，并不能作為否定虛擬貨幣刑法上“財物”屬性的依據，刑事領域肯定虛擬貨幣的“財物”屬性，并不違背法秩序統一性。

在數字經濟背景下，數據、信息等虛擬財產的價值日益凸顯并得到公眾的認同，以數據為載體的虛擬貨幣應該被刑事立法設定的‘財產’概念所覆蓋。

虛擬貨幣的“虛擬”并不是價值的“虛擬”，而只是相對傳統財物的形態差異，在數字化時代，將虛擬貨幣解釋為刑法上的“財物”不超出國民的預測可能性，也不違背法秩序統一性，是符合當下的妥當解釋。[2023/3/22 13:19:02]

StepI:攻擊準備

Jimmy Song暗示只有比特幣才是去中心化的:金色財經報道，比特幣開發人員Jimmy Song在社交媒體上稱，你不能審計美聯儲。你不能審計Ethereum。你不能審計Binance Chain。即使你可以，初始狀態是一個中央實體，為自己創造代幣，而沒有做任何工作。但你可以審計比特幣。[2022/12/22 22:01:39]

攻擊者購買了編號1060的BYACNFT并且轉移給攻擊合約。這個NFT是攻擊者花了106ETH在公開市場購買的。

全球首個K-12 Web3線上學院JetLearn完成120萬歐元種子輪融資:金色財經報道，全球首個面向K-12教育的Web3線上學院JetLearn宣布完成120萬歐元種子輪融資，由歐洲工商管理學院天使集團（INSEAD Angel Group）領投，一些著名天使投資人參投，包括 Soho House 首席財務官、Backed VC 前任首席財務官 Humera Afzal，以及由紅杉和軟銀支持的硅谷新興獨角獸 Zum 創始人 Ritu Narayan。JetLearn總部位于阿姆斯特丹，幫助兒童學習包括 Web 3.0、AI（人工智能）和機器人技術在內的新時代技術技能，據悉 JetLearn 的 STEM.org 認證計劃是世界上第一個也是唯一一個針對 K-12 教育的 Web 3.0 課程。（globalbankingandfinance）[2022/7/13 2:09:36]