北京时间2022年3月17日,我们的系统监控到涉及APE Coin的可疑交易,根据twitter用户Will Sheehan的报告,套利机器人通过闪电贷薅羊毛,拿到6W多APE Coin(每个价值8美元)。
我们经过分析后,发现这和APE Coin的空投机制存在漏洞有关。具体来说,APE Coin决定能否空投取决于某一个用户是否持有BYAC NFT的瞬时状态,而这个瞬时状态攻击者是可以通过借入闪电贷然后redeem获得BYAC NFT来操纵的。攻击者首先通过闪电贷借入BYAC Token,然后redeem获得BYAC NFT。然后使用这一些NFT来claim空投的APE,最后将BYAC NFT mint获得BYAC Token用来返还闪电贷。我们认为这个模式同基于闪电贷的价格操纵攻击非常类似(合约通过一个资产的瞬时价格来对另外一个资产进行定价,而这个瞬时价格可以被操控)。
深圳数据交易所:与蚂蚁链开展数据交易等方面合作:金色财经报道,深圳数据交易所与蚂蚁集团(蚂蚁链)签订合作框架协议,双方将在数据要素市场建设、数据交易等方面开展合作,共同探索数据价值。根据协议,双方将合作共建共享高价值数据合作渠道,开展数据合规专项研究,推进区块链、隐私计算、AI等技术研究和互联互通等方面合作。[2023/4/22 14:20:01]
接下来,我们使用一个攻击交易(https://versatile.blocksecteam.com/tx/eth/0xeb8c3bebed11e2e4fcd30cbfc2fb3c55c4ca166003c7f7d319e78eaab9747098)来简述整个过程。
Will Clemente:BTC的波动性是一种机制,将供应转移到最强的人手中:金色财经报道,Reflexivity Research联合创始人Will Clemente在社交媒体发文称,每当有人说你买比特币很幸运,就给他们看这个图表。买入比特币并不容易。你必须有巨大的信念,才能在多次70%以上的跌幅中坚持下去。市场将考验每个人的信念,而BTC的波动性是一种机制,将供应转移到最强的人手中。[2023/2/20 12:16:38]
马斯克:已经控制住Twitter开支,没有濒临破产:金色财经报道,Twitter首席执行官马斯克在社交媒体上表示,已经控制住Twitter的开支,但Twitter目前还不够安全,没有濒临破产,还有很多工作要做。[2022/12/25 22:06:31]
攻击者购买了编号1060的BYAC NFT并且转移给攻击合约。这个NFT是攻击者花了106 ETH在公开市场购买的。
攻击者通过闪电贷借入大量的BYAC Token。在这个过程中,攻击者通过redeem BYAC token获得了5个BYAC NFT(编号 7594,8214,9915,8167,4755)。
在这个过程中,攻击者使用了6个NFT来领取空投。1060是其购买,其余5个是在上一步获得。通过空投,攻击者共计获得60,564 APE tokens奖励。
攻击者需要归还借出的BYAC Token。因此它将获得BYAC NFT mint获得BYAC Token。这个过程中,他还将其自己的编号为1060 NFT也进行了mint。这是因为需要额外的BYAC Token来支付闪电贷的手续费。然后将还完手续费后的BYAC Token卖出获得14 ETH。
攻击者获得60,564 APE token,价值50W美金。其攻击成本为1060 NFT(106ETH)减去售卖BYAC Token得到的14ETH。
我们认为问题根源在于APE的空投只考虑瞬时状态(NFT是否在某一个时刻被某一个用户持有)。而这个假定是非常脆弱的,很容易被攻击者操控。如果攻击者操控状态的成本小于获得的APE空投的奖励,那么就会创造一个实际的攻击机会。
标签:YACNFTTOKETOKENyacoinBeNFT Solutionsitokenwallet观察钱包系统操作权限SPCT Token
不得不感慨,自元宇宙这个概念推出以来,只用了不到一年时间就融入到现实世界。特别是在2021年,元宇宙的狂热完全控制了商业领域,自Facebook宣布了以元宇宙为重点的项目后,时尚品牌也不甘落后,争相与加密公司合作,试图通过元宇宙在全球.
1900/1/1 0:00:00太阳底下没有新鲜事儿。 NFT在国内至少火了一年了,基础概念相信大家不会陌生。简而言之,NFT用区块链技术记载的数字化内容(比如图片、视频、虚拟手办).
1900/1/1 0:00:00本文由“老雅痞laoyapicom”授权转载浏览器为去中心化的网络做好准备了吗?信息来源自thenextweb,略有修改,作者Ivan Mehta 最近在互联网上经常看到关于Web3的消息。然而它并不像听起来那么普遍.
1900/1/1 0:00:00以太坊的质押可能很快会有两倍的利润。Coinbase估计,在1月份以太坊网络合并后,所持ETH的回报将翻倍。假设加密货币交易所Coinbase的估计是准确的.
1900/1/1 0:00:00如今,随着人们对 DeFi 的兴趣日益浓厚,DEX(即去中心化交易所)风靡一时。它们解决了常见的 CEX (即中心化交易所)问题,那我们也会问,DEX够安全吗?在上一篇说明了代币本身的安全问题后(纯干货分享(一) | DEFI安全问题.
1900/1/1 0:00:00短短一年多的时间,ADAMoracle已从一个刚拿到融资的新兴项目跃升为预言机赛道中市值第二的项目。而且,ADAMoracle预言机仍在以肉眼可见的速度快速发展壮大,其节点已遍及中东、欧洲、美洲以及亚洲等主要地区.
1900/1/1 0:00:00