Vào ngày 17 tháng 3 năm 2022, một giao dịch đáng ngờ liên quan đến APE Coin đã thu hút sự chú ý rộng rãi. Theo báo cáo của người dùng trên mạng xã hội, một số Bots đã sử dụng Khoản vay nhanh để có được hơn 60.000 APE Coin, mỗi đồng có giá trị khoảng 8 đô la.
Sau khi phân tích, sự kiện này liên quan đến lỗ hổng trong cơ chế airdrop của APE Coin. Điều kiện đủ để tham gia airdrop của APE Coin phụ thuộc vào việc người dùng có nắm giữ BYAC NFT tại một thời điểm cụ thể hay không. Tuy nhiên, trạng thái tức thời này có thể bị thao túng. Kẻ tấn công đã lợi dụng khoản vay nhanh để mượn BYAC Token, sau đó đổi lấy BYAC NFT, sử dụng những NFT này để yêu cầu airdrop APE, cuối cùng chuyển đổi BYAC NFT trở lại BYAC Token để trả khoản vay nhanh. Mô hình tấn công này rất giống với các cuộc tấn công thao túng giá dựa trên khoản vay nhanh, đều lợi dụng đặc điểm trạng thái tức thời của tài sản có thể bị thao túng.
Dưới đây là phân tích quy trình tấn công giao dịch cụ thể:
Bước 1: Chuẩn bị tấn công
Kẻ tấn công đã mua một NFT BYAC có số hiệu 1060 từ thị trường công khai với giá 106 ETH và chuyển nó vào hợp đồng tấn công.
Bước 2: Vay khoản vay nhanh và đổi lấy NFT BYAC
Kẻ tấn công đã vay mượn một lượng lớn BYAC Token thông qua khoản vay nhanh và đổi nó thành 5 BYAC NFT (có số thứ tự lần lượt là 7594, 8214, 9915, 8167 và 4755).
Bước 3: Sử dụng BYAC NFT để nhận phần thưởng airdrop
Kẻ tấn công đã sử dụng 6 NFT (bao gồm 1 NFT số 1060 đã mua và 5 NFT đã đổi) để yêu cầu airdrop, tổng cộng nhận được 60,564 token APE làm phần thưởng.
Bước 4: Đúc NFT BYAC để nhận Token BYAC
Để trả khoản vay nhanh, kẻ tấn công đã chuyển đổi NFT BYAC nhận được thành Token BYAC. Đồng thời, hắn cũng đã chuyển đổi NFT số 1060 của mình để nhận thêm Token BYAC cho việc thanh toán phí vay nhanh. Cuối cùng, số Token BYAC còn lại được bán để thu được khoảng 14 ETH.
Tình hình lợi nhuận
Kẻ tấn công cuối cùng đã nhận được 60.564 token APE, trị giá khoảng 500.000 đô la. Chi phí tấn công là giá của NFT số 106 (106 ETH) trừ đi 14 ETH thu được từ việc bán token BYAC.
bài học
Sự kiện này đã phơi bày sự mong manh của việc chỉ dựa vào trạng thái tạm thời để thực hiện airdrop. Khi chi phí thao túng trạng thái thấp hơn phần thưởng airdrop, sẽ xuất hiện cơ hội tấn công. Điều này nhắc nhở chúng ta rằng khi thiết kế cơ chế airdrop, cần xem xét nhiều yếu tố hơn, không chỉ là tình trạng nắm giữ tài sản tại một thời điểm.
Cách tấn công này sử dụng khoản vay nhanh và trạng thái tức thời, đã đặt ra những thách thức mới cho thiết kế an ninh của các dự án blockchain. Các dự án trong tương lai khi thiết kế cơ chế tương tự cần phải cẩn trọng hơn, xem xét nhiều kịch bản tấn công có thể xảy ra, nhằm đảm bảo tính an toàn và công bằng của hệ thống.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
16 thích
Phần thưởng
16
5
Đăng lại
Chia sẻ
Bình luận
0/400
RugPullSurvivor
· 19giờ trước
bẫy chó才是真正的艺术啊
Xem bản gốcTrả lời0
AirdropSkeptic
· 08-09 06:58
又有人Phiếu giảm giá 见怪不怪了
Xem bản gốcTrả lời0
TokenTherapist
· 08-09 06:53
48w đô la đã bay mất như thế...
Xem bản gốcTrả lời0
DeFiChef
· 08-09 06:52
Lại đến để ăn chùa phải không?
Xem bản gốcTrả lời0
MetaReckt
· 08-09 06:38
Blockchain còn phải dựa vào hợp đồng thông minh để phát triển.
Lỗ hổng APE Airdrop bị lợi dụng Kinh doanh chênh lệch giá với khoản vay nhanh 60564枚APE
Vào ngày 17 tháng 3 năm 2022, một giao dịch đáng ngờ liên quan đến APE Coin đã thu hút sự chú ý rộng rãi. Theo báo cáo của người dùng trên mạng xã hội, một số Bots đã sử dụng Khoản vay nhanh để có được hơn 60.000 APE Coin, mỗi đồng có giá trị khoảng 8 đô la.
Sau khi phân tích, sự kiện này liên quan đến lỗ hổng trong cơ chế airdrop của APE Coin. Điều kiện đủ để tham gia airdrop của APE Coin phụ thuộc vào việc người dùng có nắm giữ BYAC NFT tại một thời điểm cụ thể hay không. Tuy nhiên, trạng thái tức thời này có thể bị thao túng. Kẻ tấn công đã lợi dụng khoản vay nhanh để mượn BYAC Token, sau đó đổi lấy BYAC NFT, sử dụng những NFT này để yêu cầu airdrop APE, cuối cùng chuyển đổi BYAC NFT trở lại BYAC Token để trả khoản vay nhanh. Mô hình tấn công này rất giống với các cuộc tấn công thao túng giá dựa trên khoản vay nhanh, đều lợi dụng đặc điểm trạng thái tức thời của tài sản có thể bị thao túng.
Dưới đây là phân tích quy trình tấn công giao dịch cụ thể:
Bước 1: Chuẩn bị tấn công
Kẻ tấn công đã mua một NFT BYAC có số hiệu 1060 từ thị trường công khai với giá 106 ETH và chuyển nó vào hợp đồng tấn công.
Bước 2: Vay khoản vay nhanh và đổi lấy NFT BYAC
Kẻ tấn công đã vay mượn một lượng lớn BYAC Token thông qua khoản vay nhanh và đổi nó thành 5 BYAC NFT (có số thứ tự lần lượt là 7594, 8214, 9915, 8167 và 4755).
Bước 3: Sử dụng BYAC NFT để nhận phần thưởng airdrop
Kẻ tấn công đã sử dụng 6 NFT (bao gồm 1 NFT số 1060 đã mua và 5 NFT đã đổi) để yêu cầu airdrop, tổng cộng nhận được 60,564 token APE làm phần thưởng.
Bước 4: Đúc NFT BYAC để nhận Token BYAC
Để trả khoản vay nhanh, kẻ tấn công đã chuyển đổi NFT BYAC nhận được thành Token BYAC. Đồng thời, hắn cũng đã chuyển đổi NFT số 1060 của mình để nhận thêm Token BYAC cho việc thanh toán phí vay nhanh. Cuối cùng, số Token BYAC còn lại được bán để thu được khoảng 14 ETH.
Tình hình lợi nhuận
Kẻ tấn công cuối cùng đã nhận được 60.564 token APE, trị giá khoảng 500.000 đô la. Chi phí tấn công là giá của NFT số 106 (106 ETH) trừ đi 14 ETH thu được từ việc bán token BYAC.
bài học
Sự kiện này đã phơi bày sự mong manh của việc chỉ dựa vào trạng thái tạm thời để thực hiện airdrop. Khi chi phí thao túng trạng thái thấp hơn phần thưởng airdrop, sẽ xuất hiện cơ hội tấn công. Điều này nhắc nhở chúng ta rằng khi thiết kế cơ chế airdrop, cần xem xét nhiều yếu tố hơn, không chỉ là tình trạng nắm giữ tài sản tại một thời điểm.
Cách tấn công này sử dụng khoản vay nhanh và trạng thái tức thời, đã đặt ra những thách thức mới cho thiết kế an ninh của các dự án blockchain. Các dự án trong tương lai khi thiết kế cơ chế tương tự cần phải cẩn trọng hơn, xem xét nhiều kịch bản tấn công có thể xảy ra, nhằm đảm bảo tính an toàn và công bằng của hệ thống.