KEN:被薅了 APE 空投漏洞簡析_itokenwallet系統操作權限

Author：

Time：1900/1/1 0:00:00

北京時間2022年3月17日，我們的系統監控到涉及APECoin的可疑交易，根據twitter用戶WillSheehan的報告，套利機器人通過閃電貸薅羊毛，拿到6W多APECoin。

我們經過分析后，發現這和APECoin的空投機制存在漏洞有關。具體來說，APECoin決定能否空投取決于某一個用戶是否持有BYACNFT的瞬時狀態，而這個瞬時狀態攻擊者是可以通過借入閃電貸然后redeem獲得BYACNFT來操縱的。攻擊者首先通過閃電貸借入BYACToken，然后redeem獲得BYACNFT。然后使用這一些NFT來claim空投的APE，最后將BYACNFTmint獲得BYACToken用來返還閃電貸。我們認為這個模式同基于閃電貸的價格操縱攻擊非常類似。

烏克蘭要求當地加密貨幣企業提供財務信息:金色財經報道，烏克蘭國家銀行(NBU)要求四家當地加密貨幣公司Kuna、CoinPay、GEO Pay和Qmall提供2023年前兩個季度的財務報表。NBU要求加密貨幣企業在7天內提供財務報表。

根據一份文件，NBU還要求加密貨幣企業提供運營量數據以及資金接收和轉移信息。NBU還要求烏克蘭加密貨幣公司從2023年初開始為所有賬戶發布報表。[2023/8/1 16:11:53]

接下來，我們使用一個攻擊交易(https://versatile.blocksecteam.com/tx/eth/0xeb8c3bebed11e2e4fcd30cbfc2fb3c55c4ca166003c7f7d319e78eaab9747098)來簡述整個過程。

加密貨幣對沖基金Fore Elite Capital Management 已獲得香港證監會牌照:金色財經報道，Dechert 合伙人 Michael Wong 和 Jason Chan 已經幫助純加密貨幣對沖基金 Fore Elite Capital Management 從香港證監會獲得牌照，然后擴大該牌照的條件，使其能夠投資前 100 大交易量最大的加密貨幣和衍生品.。此前，該公司的牌照只允許對排名前 20 的硬幣進行多頭交易。[2023/5/7 14:47:52]

StepI:攻擊準備

SBF已同意被引渡到美國，其律師團隊正制定引渡計劃:12月20日消息，據外媒報道，前FTX首席執行官Sam Bankman-Fried（SBF）已同意被引渡到美國，當天的庭審結束后，他的律師團隊正在制定引渡計劃。SBF的律師希望最早在周二就此事舉行新的聽證會。

SBF的巴哈馬刑事辯護律師Jerone Roberts與SBF及其美國律師Mark Cohen召開電話會議后，同意起草必要的文件。但他們警告說，SBF的法律計劃仍在不斷變化，可能會改變。（華爾街日報）[2022/12/20 21:55:31]

元宇宙3D虛擬廠牌AVAR完成數百萬美元融資:金色財經報道，元宇宙3D虛擬廠牌AVAR宣布完成數百萬美元天使輪和種子輪融資，種子輪由唯獵資本領投，天使輪由華創資本領投，遠識資本擔任長期獨家財務顧問。AVAR 可以讓用戶可以在虛擬世界中創造和消費更廣泛的數字資產，應用場景為虛擬偶像、虛擬時尚、數字藏品 NFT，未來將上線虛擬商品及數字產品交易平臺。（myzaker）[2022/7/14 2:12:14]

攻擊者購買了編號1060的BYACNFT并且轉移給攻擊合約。這個NFT是攻擊者花了106ETH在公開市場購買的。