被薅了 APE 空投漏洞簡析_NFT

北京時間2022年3月17日，我們的系統監控到涉及APECoin的可疑交易，根據twitter用戶WillSheehan的報告，套利機器人通過閃電貸薅羊毛，拿到6W多APECoin。

我們經過分析后，發現這和APECoin的空投機制存在漏洞有關。具體來說，APECoin決定能否空投取決于某一個用戶是否持有BYACNFT的瞬時狀態，而這個瞬時狀態攻擊者是可以通過借入閃電貸然后redeem獲得BYACNFT來操縱的。攻擊者首先通過閃電貸借入BYACToken，然后redeem獲得BYACNFT。然后使用這一些NFT來claim空投的APE，最后將BYACNFTmint獲得BYACToken用來返還閃電貸。我們認為這個模式同基于閃電貸的價格操縱攻擊非常類似。

華納兄弟的NFT部門為電影《閃電俠》推出新的Web3體驗:金色財經報道，華納電影《閃電俠》進入Web3。華納兄弟的NFT部門為最近上映的DC漫畫超級英雄電影《閃電俠》推出了新的Web3體驗。根據華納兄弟數字收藏品公司（Warner Bros. Digital Collectibles）的公告，《閃電俠》Web3電影體驗將于7月18日推出，包括NFT收藏品、AR體驗、幕后內容訪問和4K超高清全片等。[2023/7/15 10:57:08]

接下來，我們使用一個攻擊交易(https://versatile.blocksecteam.com/tx/eth/0xeb8c3bebed11e2e4fcd30cbfc2fb3c55c4ca166003c7f7d319e78eaab9747098)來簡述整個過程。

Dune新增支持解碼Solana應用程序:5月11日消息，區塊鏈數據分析工具Dune新增支持解碼Solana應用程序，用戶可以通過完全解碼原始交易級數據中的指令和內部指令來創建程序特定的數據集，從而使這些數據更容易訪問。[2023/5/11 14:56:19]

StepI:攻擊準備

攻擊者購買了編號1060的BYACNFT并且轉移給攻擊合約。這個NFT是攻擊者花了106ETH在公開市場購買的。

Laguna Games任命Andrew Campbell擔任產品和市場增長主管:2月21日消息，基于Polygon的NFT游戲Crypto Unicorns開發商Laguna Games今天宣布，已任命Andrew“Zyori”Campbell為其產品和市場增長主管。

Campbell此前曾擔任Axie Infinity的電子競技總監，該NFT游戲總交易量超過42億美元。在此之前，Campbell是Dota 2和星際爭霸II等游戲的電子競技評論員。（Decrypt）[2023/2/22 12:20:50]

Do Kwon：韓國調查人員從未對其提出任何指控:金色財經報道，?Terra創始人Do Kwon在Terra崩盤后首次接受采訪時表示，正在調查崩盤事件的韓國調查人員尚未與他聯系。我們要做的就是公布我們所知道的事實。我們將完全誠實并處理可能出現的任何后果。

Kwon 補充說，人們認為他搬到新加坡是為了逃避調查，這是一種誤解，而且他在崩盤前就去過那里。他說，他曾在韓國處理過針對家人的威脅，這促使他采取了行動。很難做出返回的決定，但如果他想返回，不管調查如何。[2022/8/15 12:26:51]

StepII:借入閃電貸并且redeem成BYACNFT

攻擊者通過閃電貸借入大量的BYACToken。在這個過程中，攻擊者通過redeemBYACtoken獲得了5個BYACNFT。

StepIII:通過BYACNFT領取空投獎勵

在這個過程中，攻擊者使用了6個NFT來領取空投。1060是其購買，其余5個是在上一步獲得。通過空投，攻擊者共計獲得60,564APEtokens獎勵。

StepIV:mintBYACNFT獲得BYACToken

攻擊者需要歸還借出的BYACToken。因此它將獲得BYACNFTmint獲得BYACToken。這個過程中，他還將其自己的編號為1060NFT也進行了mint。這是因為需要額外的BYACToken來支付閃電貸的手續費。然后將還完手續費后的BYACToken賣出獲得14ETH。

獲利

攻擊者獲得60,564APEtoken,價值50W美金。其攻擊成本為1060NFT減去售賣BYACToken得到的14ETH。

Lessons

我們認為問題根源在于APE的空投只考慮瞬時狀態。而這個假定是非常脆弱的，很容易被攻擊者操控。如果攻擊者操控狀態的成本小于獲得的APE空投的獎勵，那么就會創造一個實際的攻擊機會。

Tags：NFTYACTOKENTOKNFT SolPadPayacceptChedda Tokentok幣圖交易所最新情況

火必