北京時間2022年3月17日,我們的系統監控到涉及APECoin的可疑交易,根據twitter用戶WillSheehan的報告,套利機器人通過閃電貸薅羊毛,拿到6W多APECoin。
我們經過分析后,發現這和APECoin的空投機制存在漏洞有關。具體來說,APECoin決定能否空投取決于某一個用戶是否持有BYACNFT的瞬時狀態,而這個瞬時狀態攻擊者是可以通過借入閃電貸然后redeem獲得BYACNFT來操縱的。攻擊者首先通過閃電貸借入BYACToken,然后redeem獲得BYACNFT。然后使用這一些NFT來claim空投的APE,最后將BYACNFTmint獲得BYACToken用來返還閃電貸。我們認為這個模式同基于閃電貸的價格操縱攻擊非常類似。
RON上漲觸及0.88美元:金色財經報道,行情數據顯示,RON(Ronin Network)上漲觸及 0.88 美元,現報價 0.865 美元,24 小時漲幅 18.98%。截至目前,RON 已連續 6 周維持上漲趨勢,累計漲幅 246.43%。行情波動較大,請做好風險控制。[2023/1/28 11:33:26]
接下來,我們使用一個攻擊交易(https://versatile.blocksecteam.com/tx/eth/0xeb8c3bebed11e2e4fcd30cbfc2fb3c55c4ca166003c7f7d319e78eaab9747098)來簡述整個過程。
知情人士:Babel Finance全球合作伙伴負責人劉玉龍計劃離職:6月29日消息,知情人士稱,加密金融服務商Babel Finance全球合作伙伴負責人劉玉龍計劃在本月底或下月初離職,他最近更新了LinkedIn但在此后刪除了個人資料。他在Babel Finance工作了近三年,負責為公司尋找新的合作伙伴。
Babel的一位發言人表示,Liu仍在為Babel工作,并拒絕就他的離職計劃發表評論。Liu沒有回應多次置評請求。此前Babel Finance于6月17日暫停產品贖回和提款功能。(The Block)[2022/6/29 1:38:47]
StepI:攻擊準備
a16z創始合伙人Chris Dixon取關Jack Dorsey:金色財經報道,就在Jack Dorsey五天前取消了對Chris Dixon的關注之后,這位a16z創始合伙人今天也在社交媒體上取消了對Jack Dorsey的關注。此外,Chris Dixon還提出在區塊鏈之上構建社交網絡需要三個關鍵要點,分別是:1、低交易費用(存儲和計算);2、較短的確認時間;3、富有表現力的編程語言。[2022/5/18 3:25:14]
攻擊者購買了編號1060的BYACNFT并且轉移給攻擊合約。這個NFT是攻擊者花了106ETH在公開市場購買的。
StepII:借入閃電貸并且redeem成BYACNFT
攻擊者通過閃電貸借入大量的BYACToken。在這個過程中,攻擊者通過redeemBYACtoken獲得了5個BYACNFT。
StepIII:通過BYACNFT領取空投獎勵
在這個過程中,攻擊者使用了6個NFT來領取空投。1060是其購買,其余5個是在上一步獲得。通過空投,攻擊者共計獲得60,564APEtokens獎勵。
StepIV:mintBYACNFT獲得BYACToken
攻擊者需要歸還借出的BYACToken。因此它將獲得BYACNFTmint獲得BYACToken。這個過程中,他還將其自己的編號為1060NFT也進行了mint。這是因為需要額外的BYACToken來支付閃電貸的手續費。然后將還完手續費后的BYACToken賣出獲得14ETH。
獲利
攻擊者獲得60,564APEtoken,價值50W美金。其攻擊成本為1060NFT減去售賣BYACToken得到的14ETH。
Lessons
我們認為問題根源在于APE的空投只考慮瞬時狀態。而這個假定是非常脆弱的,很容易被攻擊者操控。如果攻擊者操控狀態的成本小于獲得的APE空投的獎勵,那么就會創造一個實際的攻擊機會。
尊敬的WEEX用戶您好!如您在華為系統無法正常打開軟件解決方法,請您做以下的排除動作;</article><divclass="news_detail_footer-kjct">&.
1900/1/1 0:00:00Gate.ioCopyTradingisnowhometo16quantitativeproducts.
1900/1/1 0:00:001ReapChain(REAP)TokenSaleResultTheGate.ioStartupReapChain(REAP)saleresultisasfollows:REAPStartupS.
1900/1/1 0:00:00尊敬的用戶:Hotcoin將於(GMT8)2022年3月17日18:00開放USDC/USDT交易業務,2022年3月18日18:00開放USDC提幣業務,充值業務開放時間將以公告另行通知.
1900/1/1 0:00:00據Messari數據顯示,Cardano鏈上交易額已接近700億美元,超過了比特幣和以太坊網絡.
1900/1/1 0:00:00親愛的用戶: 為支持Token||Traxx(TRAXX)?的生態建設,頂峰AscendEX現已開啟TRAXXStaking預體驗活動.
1900/1/1 0:00:00