北京时间2022年3月17日,我们的系统监控到涉及APECoin的可疑交易,根据twitter用户WillSheehan的报告,套利机器人通过闪电贷薅羊毛,拿到6W多APECoin。
我们经过分析后,发现这和APECoin的空投机制存在漏洞有关。具体来说,APECoin决定能否空投取决于某一个用户是否持有BYACNFT的瞬时状态,而这个瞬时状态攻击者是可以通过借入闪电贷然后redeem获得BYACNFT来操纵的。攻击者首先通过闪电贷借入BYACToken,然后redeem获得BYACNFT。然后使用这一些NFT来claim空投的APE,最后将BYACNFTmint获得BYACToken用来返还闪电贷。我们认为这个模式同基于闪电贷的价格操纵攻击非常类似。
Messari:近30%Lens用户只与一个应用程序进行过交互:金色财经报道, Messari发推特称,近30%的用户只与一个应用程序进行过交互,这表明有相当多的用户尚未探索/img/20230515002601951499/0.jpg "/>
对冲基金经理Bill Ackman:相信在合理监管下,加密技术可对社会产生有益影响:11月21日消息,对冲基金经理Bill Ackman在其社交平台表示,自己曾经是一位加密怀疑论者,但在研究了一些更有意思的加密项目后,相信加密技术可以创造出史无前例的业务和技术。但目前大多数加密货币助长了欺诈,相信借助合理的监管和监督,加密技术会产生有益社会影响的潜力,并最终可能产生与电话和互联网同等级别的社会影响。[2022/11/21 22:11:22]
攻击者购买了编号1060的BYACNFT并且转移给攻击合约。这个NFT是攻击者花了106ETH在公开市场购买的。
CryptoPunks系列NFT近24小时交易额跌幅近50%:金色财经报道,据NFTGo.io数据最新数据显示,CryptoPunks系列NFT总市值为814,112.45 ETH,过去24小时的交易额为494.49 ETH,跌幅达48.32%;地板价为64.94ETH,持有NFT地址总数为3628个。[2022/10/28 11:50:22]
StepII:借入闪电贷并且redeem成BYACNFT
将Uniswap v3部署至Gnosis Chain的提案已启动投票:5月9日消息,将Uniswap v3部署至Gnosis Chain的提案已启动投票,将于北京时间2022年5月14日09:00左右结束。据了解,Gnosis Chain将以GNO Token的形式提供1000万美元激励以推动Uniswap在Gnosis Chain上的使用。此外,Uniswap还将与跨链桥Nomad合作进行Gnosis Chain上的跨链治理。[2022/5/9 3:01:10]
攻击者通过闪电贷借入大量的BYACToken。在这个过程中,攻击者通过redeemBYACtoken获得了5个BYACNFT。
StepIII:通过BYACNFT领取空投奖励
在这个过程中,攻击者使用了6个NFT来领取空投。1060是其购买,其余5个是在上一步获得。通过空投,攻击者共计获得60,564APEtokens奖励。
StepIV:mintBYACNFT获得BYACToken
攻击者需要归还借出的BYACToken。因此它将获得BYACNFTmint获得BYACToken。这个过程中,他还将其自己的编号为1060NFT也进行了mint。这是因为需要额外的BYACToken来支付闪电贷的手续费。然后将还完手续费后的BYACToken卖出获得14ETH。
获利
攻击者获得60,564APEtoken,价值50W美金。其攻击成本为1060NFT减去售卖BYACToken得到的14ETH。
Lessons
我们认为问题根源在于APE的空投只考虑瞬时状态。而这个假定是非常脆弱的,很容易被攻击者操控。如果攻击者操控状态的成本小于获得的APE空投的奖励,那么就会创造一个实际的攻击机会。
“UST取得了DeFi社区的信任,它是名副其实的去中心化稳定货币,不需要中心管理机构确保有充足的储备来支持价格。稳定货币通过质押、流动性管理和收益率生成在DeFi中发挥着重要作用.
1900/1/1 0:00:00该活动是通过Copper的LBP进行的,确保通证以更公平的方式分配,这符合使DeFi更加公平Minterest精神.
1900/1/1 0:00:00滑点也被称为滑价,是指交易预期价格和交易执行价格之间的差异。例如,交易者小A想以40000USDT的价格买入1BTC,下单后最终成交价为40050USDT。小A的预期买入价格和订单最终成交价格存在的这50USDT的价差,就是滑点.
1900/1/1 0:00:001.前言 北京时间3月15日晚,知道创宇区块链安全实验室监测到Gnosis链上的借贷类协议HundredFinance与Agave均遭遇了闪电贷袭击,包括AAVE的分支Agave和Compound的分支HundredFinance.
1900/1/1 0:00:00区块链拥有可以改变我们饮食方式的潜力,而豪华NFT型餐厅只触及了这种潜力的表面。 DAOs与过去传统合作社形式的组织有很多共同点——比如其中的参与者都很喜欢美食.
1900/1/1 0:00:00前言 北京时间2022年3月22日,知道创宇区块链安全实验室监测到Fantom生态稳定币收益优化器OneRingFinance遭到闪电贷攻击,黑客窃取逾145万美元.
1900/1/1 0:00:00