被薅了 APE 空投漏洞简析

作者：

时间：1900/1/1 0:00:00

北京时间2022年3月17日，我们的系统监控到涉及APECoin的可疑交易，根据twitter用户WillSheehan的报告，套利机器人通过闪电贷薅羊毛，拿到6W多APECoin。

我们经过分析后，发现这和APECoin的空投机制存在漏洞有关。具体来说，APECoin决定能否空投取决于某一个用户是否持有BYACNFT的瞬时状态，而这个瞬时状态攻击者是可以通过借入闪电贷然后redeem获得BYACNFT来操纵的。攻击者首先通过闪电贷借入BYACToken，然后redeem获得BYACNFT。然后使用这一些NFT来claim空投的APE，最后将BYACNFTmint获得BYACToken用来返还闪电贷。我们认为这个模式同基于闪电贷的价格操纵攻击非常类似。

SBF支持重启FTX交易所并发行新FTT代币的想法:12月9日消息，CNBC主持人Ran Neuner发推称，如果启动FTX交易所并发行新的FTT代币，并将代币分发给债权人/存款人，且将100%的利润分配给代币持有者。它将成为世界上最大的交易所，用户能挽回更多的损失。

对此，前FTX首席执行官Sam Bankman-Fried（SBF）表示，我仍然认为这将是各方探索的富有成效的途径，我希望现有的团队会这样做。[2022/12/9 21:33:50]

接下来，我们使用一个攻击交易(https://versatile.blocksecteam.com/tx/eth/0xeb8c3bebed11e2e4fcd30cbfc2fb3c55c4ca166003c7f7d319e78eaab9747098)来简述整个过程。

北京市委书记蔡奇：元宇宙是一片“新蓝海” 推动元宇宙产业聚集发展:8月10日消息，8月9日，北京市委书记蔡奇到通州区张家湾设计小镇调查研究。据北京日报消息，蔡奇在调研时来到元宇宙应用创新中心，了解产业发展情况。他强调，元宇宙是一片新蓝海，要发挥头部企业带动作用，加强核心技术攻关，投放更多应用场景，推动元宇宙产业聚集发展。蔡奇表示，未来五年是城市副中心立长远、强功能、全面上台阶的关键时期，设计小镇作为城市副中心高质量发展重要支点，要更加积极主动作为，着力打造展现城市副中心科技与文化魅力的新名片。

目前，元宇宙的发展已经成为各地的重点。据统计，截至2022年7月，国内至少7省17市地方政府已经发布元宇宙产业相关建设规划，包括北京、上海、南京、无锡等。其中北京比较明确提出“加快推进元宇宙应用创新中心建设”的区域是通州区。（21世纪经济报道）[2022/8/10 12:15:57]

StepI:攻击准备

风投公司NFX增加6260万美元资金，将用于投资加密货币等领域:金色财经消息，风险投资公司NFX为其第二只基金增加了6261万美元的投资资金，其中包括加密货币领域的公司。据悉，NFX的第二只基金于2019年推出，承诺为所有行业的提供投资2.75亿美元。根据一份监管文件显示，该公司已将第二支基金增加到3.3761亿美元。NFX证实，额外的资金是用于对基金组合中的高度信心的公司进行后续投资。（CoinDesk）[2022/7/22 2:30:00]

成都链安：Discover项目正在持续遭到闪电贷攻击:6月6日消息，据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，Discover项目正在持续遭到闪电贷攻击，攻击者通过闪电贷使用BSC-USD大量重复兑换Discover代币，其中一个攻击者0x446...BA277获利约49BNB已转入龙卷风，攻击交易:0x1dd4989052f69cd388f4dfbeb1690a3f3a323ebb73df816e5ef2466dc98fa4a4,攻击合约:0xfa9c2157cf3d8cbfd54f6bef7388fbcd7dc90bd6

攻击者地址:0x446247bb10B77D1BCa4D4A396E014526D1ABA277[2022/6/6 4:05:40]

攻击者购买了编号1060的BYACNFT并且转移给攻击合约。这个NFT是攻击者花了106ETH在公开市场购买的。