買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > FIL幣 > Info

TOKEN:被薅了 APE 空投漏洞簡析_NFTS

Author:

Time:1900/1/1 0:00:00

北京時間2022年3月17日,我們的系統監控到涉及APE Coin的可疑交易,根據twitter用戶Will Sheehan的報告,套利機器人通過閃電貸薅羊毛,拿到6W多APE Coin(每個價值8美元)。

我們經過分析后,發現這和APE Coin的空投機制存在漏洞有關。具體來說,APE Coin決定能否空投取決于某一個用戶是否持有BYAC NFT的瞬時狀態,而這個瞬時狀態攻擊者是可以通過借入閃電貸然后redeem獲得BYAC NFT來操縱的。攻擊者首先通過閃電貸借入BYAC Token,然后redeem獲得BYAC NFT。然后使用這一些NFT來claim空投的APE,最后將BYAC NFT mint獲得BYAC Token用來返還閃電貸。我們認為這個模式同基于閃電貸的價格操縱攻擊非常類似(合約通過一個資產的瞬時價格來對另外一個資產進行定價,而這個瞬時價格可以被操控)。

本周加密貨幣公司融資與上周相比急劇下降:金色財經報道,本周為加密貨幣初創公司籌集的資金約為8850萬美元,有13家不同的公司籌集了資金,與上周的2.51億美元相比急劇下降。[2023/4/16 14:06:24]

接下來,我們使用一個攻擊交易(https://versatile.blocksecteam.com/tx/eth/0xeb8c3bebed11e2e4fcd30cbfc2fb3c55c4ca166003c7f7d319e78eaab9747098)來簡述整個過程。

Injective已經處理了超過9500萬筆交易:8月24日消息,Injective在與谷歌云舉辦的會議上表示,Injective已經處理了超過9500萬筆交易,并產生了1420萬個區塊。谷歌云平臺 (GCP) 和Injective可以通過密切合作,以構建Web3的未來,來解鎖的新協同效應。這包括開創性的新型Web3基礎設施、使用GCP的新遷移以及創建強大的云數據。[2022/8/24 12:46:06]

攻擊者購買了編號1060的BYAC NFT并且轉移給攻擊合約。這個NFT是攻擊者花了106 ETH在公開市場購買的。

NFT Worlds團隊:正與《我的世界》團隊溝通,并考慮備選方案:7月21日消息,針對“《我的世界》禁止在游戲中使用NFT或其他區塊鏈技術”,NFT Worlds項目團隊在其Discord頻道發文回應稱,目前正在與《我的世界》(Minecraft)團隊相關人員進行溝通,了解禁令發布原因,并爭取在Minecraft平臺繼續運營。

如果溝通不能取得預期效果,NFT Worlds也在考慮以下備選方案:

1. 將項目遷移至類似Minecraft的游戲引擎和游戲平臺;

2. 轉型為GameFi平臺,為游戲開發者或游戲工作室提供技術服務。

此前消息,《我的世界》(Minecraft)更新其使用指南,宣布禁止Minecraft客戶端和服務器應用程序集成區塊鏈技術,也不得用于創建與任何游戲內容相關的NFT,包括世界、皮膚、角色物品或其他模組。[2022/7/21 2:27:59]

攻擊者通過閃電貸借入大量的BYAC Token。在這個過程中,攻擊者通過redeem BYAC token獲得了5個BYAC NFT(編號 7594,8214,9915,8167,4755)。

在這個過程中,攻擊者使用了6個NFT來領取空投。1060是其購買,其余5個是在上一步獲得。通過空投,攻擊者共計獲得60,564 APE tokens獎勵。

攻擊者需要歸還借出的BYAC Token。因此它將獲得BYAC NFT mint獲得BYAC Token。這個過程中,他還將其自己的編號為1060 NFT也進行了mint。這是因為需要額外的BYAC Token來支付閃電貸的手續費。然后將還完手續費后的BYAC Token賣出獲得14 ETH。

攻擊者獲得60,564 APE token,價值50W美金。其攻擊成本為1060 NFT(106ETH)減去售賣BYAC Token得到的14ETH。

我們認為問題根源在于APE的空投只考慮瞬時狀態(NFT是否在某一個時刻被某一個用戶持有)。而這個假定是非常脆弱的,很容易被攻擊者操控。如果攻擊者操控狀態的成本小于獲得的APE空投的獎勵,那么就會創造一個實際的攻擊機會。

Tags:NFTYACKENTOKENNFTSYAC價格UNCC TokenGlory Token

FIL幣
VITA:Adam Cochran評價AC退圈事件:領導者有5類 AC是創新者_ADAO幣

注:3月7日,Cinneamhain Ventures合伙人Adam Cochran針對AC退圈一事在推特發表了看法,從風投角度對項目創始人進行了分類,并對各個類型領導者的特性進行了闡述.

1900/1/1 0:00:00
ENS:詳解通往Web3的護照:去中心化身份DID_metamask下載不了

互聯網的創建沒有為人們提供本地身份驗證層。由此,數字身份問題被納入網站和應用程序范疇。這種方法可能適用于互聯網的早期階段,但現在線上有數十億人,但缺點正變得越來越明顯.

1900/1/1 0:00:00
CRYPTO:華爾街人士稱:如果不進入crypto領域實際上是一種職業風險_Cryptrust

原標題:The talent exodus from Wall Street to crypto will accelerate.

1900/1/1 0:00:00
RON:讓NFT-Fi流行起來_BeNFT Solutions

本文僅做行業學習交流之用,不構成任何投資參考 讓NFT-Fi流行起來 NFT的金融化是一個艱難的旅程,我們也很難搞懂它涉及的方方面面.

1900/1/1 0:00:00
NFT:騰訊首度投資NFT賽道 詳解 Immutable 解決方案與產品布局_DNFT價格

3月7日,NFT/鏈游開發商 Immutable 以 25 億美元估值完成 2 億美元C輪融資,淡馬錫領投.

1900/1/1 0:00:00
SOL:DAO:自組織運動的新興領導者_QUO

DAO是目前web3世界中最熱門的現象。許多參與者并沒有意識到他們是更大的自組織運動的最新浪潮.

1900/1/1 0:00:00
ads