比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

YAC:被薅了 APE 空投漏洞簡析_TEMCO tokens

Author:

Time:1900/1/1 0:00:00

北京時間2022年3月17日,我們的系統監控到涉及APE Coin的可疑交易,根據twitter用戶Will Sheehan的報告,套利機器人通過閃電貸薅羊毛,拿到6W多APE Coin(每個價值8美元)。

我們經過分析后,發現這和APE Coin的空投機制存在漏洞有關。具體來說,APE Coin決定能否空投取決于某一個用戶是否持有BYAC NFT的瞬時狀態,而這個瞬時狀態攻擊者是可以通過借入閃電貸然后redeem獲得BYAC NFT來操縱的。攻擊者首先通過閃電貸借入BYAC Token,然后redeem獲得BYAC NFT。然后使用這一些NFT來claim空投的APE,最后將BYAC NFT mint獲得BYAC Token用來返還閃電貸。我們認為這個模式同基于閃電貸的價格操縱攻擊非常類似(合約通過一個資產的瞬時價格來對另外一個資產進行定價,而這個瞬時價格可以被操控)。

約5409萬美元BTC轉入Coinbase:金色財經報道,數據顯示,北京時間今日07:23,2156枚BTC于從未知錢包轉入Coinbase,價值約5409萬美元。[2023/6/15 21:38:10]

接下來,我們使用一個攻擊交易(https://versatile.blocksecteam.com/tx/eth/0xeb8c3bebed11e2e4fcd30cbfc2fb3c55c4ca166003c7f7d319e78eaab9747098)來簡述整個過程。

Coinbase財務官:監管機構沒有將重點放在制定規則或注冊選項等實用、持久的解決方案上:3月14日消息,Coinbase首席法務官Paul Grewal發推稱:“Coinbase沒有上線證券,但我們想上線。去年,我們甚至請求美國證券交易委員會(SEC)開始就這個問題制定規則,并就此提出了50個問題,但沒有收到任何回復。監管機構沒有將重點放在制定規則或注冊選項等實用、持久的解決方案上,而是優先考慮了此類將投資合同的法律定義扭曲得面目全非的行動。法治很重要,司法部在指控我們的前雇員及其同伙犯有電匯欺詐而非證券欺詐時承認了這一點。這是有道理的,原因很簡單,所涉資產不是證券。”[2023/3/14 13:02:49]

攻擊者購買了編號1060的BYAC NFT并且轉移給攻擊合約。這個NFT是攻擊者花了106 ETH在公開市場購買的。

彭博社:英仕曼集團最早將于今年底推出專注于加密領域的對沖基金:金色財經報道,據彭博社援引知情人士報道,全球最大的投資管理公司之一英仕曼集團(Man Group Plc)即將成立專注于加密貨幣領域的對沖基金,深入研究因 FTX 破產而陷入困境的加密貨幣市場。英仕曼集團的發言人拒絕就此置評。

據這位要求保持匿名的知情人士透露,基金經理 Andre Rzym 最近幾個月一直在為英仕曼集團制定加密貨幣基金投資策略,最早可能會在今年年底啟動該基金。[2022/11/19 13:23:18]

攻擊者通過閃電貸借入大量的BYAC Token。在這個過程中,攻擊者通過redeem BYAC token獲得了5個BYAC NFT(編號 7594,8214,9915,8167,4755)。

在這個過程中,攻擊者使用了6個NFT來領取空投。1060是其購買,其余5個是在上一步獲得。通過空投,攻擊者共計獲得60,564 APE tokens獎勵。

攻擊者需要歸還借出的BYAC Token。因此它將獲得BYAC NFT mint獲得BYAC Token。這個過程中,他還將其自己的編號為1060 NFT也進行了mint。這是因為需要額外的BYAC Token來支付閃電貸的手續費。然后將還完手續費后的BYAC Token賣出獲得14 ETH。

攻擊者獲得60,564 APE token,價值50W美金。其攻擊成本為1060 NFT(106ETH)減去售賣BYAC Token得到的14ETH。

我們認為問題根源在于APE的空投只考慮瞬時狀態(NFT是否在某一個時刻被某一個用戶持有)。而這個假定是非常脆弱的,很容易被攻擊者操控。如果攻擊者操控狀態的成本小于獲得的APE空投的獎勵,那么就會創造一個實際的攻擊機會。

Tags:YACNFTKENTOKENHappy PEPE Yacht ClubAPENFT幣最新銷毀KRW TokenTEMCO tokens

比特幣交易所
NFT:讓NFT-Fi流行起來_mcontent幣怎么樣

本文僅做行業學習交流之用,不構成任何投資參考 讓NFT-Fi流行起來 NFT的金融化是一個艱難的旅程,我們也很難搞懂它涉及的方方面面.

1900/1/1 0:00:00
NFT:圍觀歸零的Wanderverse 盜個圖居然騙走1500萬_ETH

如此熱門的NFT,讓誰賺到錢了?第一個答案肯定是騙子!因NFT行業缺乏監管,虛假網站、盜版游戲角色、盜版圖片......讓騙子在該領域大發橫財.

1900/1/1 0:00:00
NFT:國內國外近期NFT監管走向分析_snft幣最新消息

我國法律法規對區塊鏈、虛擬貨幣、數字藏品等相關領域一直持有審慎態度。2021年NFT在全球火爆并持續快速發展,國內大廠與新秀也同時走上了“賽道”.

1900/1/1 0:00:00
FLOW:A16z顧問深度解析主流區塊鏈Flow生態的戰略藍圖(上)_DAPP

朋友們, 周一快樂! 我最喜歡寫看似所有人有統一共識 但結果證明是完全錯誤的東西。而這正是今天這篇文章要寫的內容.

1900/1/1 0:00:00
PEN:OpenSea 不是去中心化 開放與治理本就自相矛盾_SEA

OpenSea 不算是去中心化應用,OpenSea 追求開放精神與平臺治理的,這種追求本身就是個矛盾體。烏俄戰爭進入第2 周,越來越多國際企業響應歐美政府的對俄制裁措施.

1900/1/1 0:00:00
DAO:游戲公會:鏈游經濟的變革者_NFT

2021年,Axie Infinity的爆發推動了P2E游戲的“打金”熱,游戲公會是其背后的重要推手.

1900/1/1 0:00:00
ads