Analiz sonucunda, bu olayın APE Coin'in airdrop mekanizmasındaki bir açığı ile ilgili olduğu belirlenmiştir. APE Coin'in airdrop uygunluğu, kullanıcıların belirli bir anda BYAC NFT'ye sahip olup olmamasına bağlıdır. Ancak, bu anlık durum manipüle edilebilir. Saldırganlar, Flaş Krediler aracılığıyla BYAC Token borç alarak, ardından BYAC NFT'ye dönüştürmekte, bu NFT'leri kullanarak APE airdrop'unu talep etmekte ve son olarak BYAC NFT'lerini tekrar BYAC Token'a basarak Flaş Krediler'i geri ödemektedir. Bu saldırı modeli, Flaş Krediler'e dayalı fiyat manipülasyonu saldırılarıyla oldukça benzerlik göstermekte olup, varlıkların anlık durumlarının manipüle edilebilme özelliğini kullanmaktadır.
Aşağıda belirli bir saldırı işleminin süreç analizi bulunmaktadır:
İlk adım: Saldırı hazırlığı
Saldırgan, 106 ETH fiyatıyla açık piyasalardan 1060 numaralı bir BYAC NFT satın aldı ve bunu saldırı sözleşmesine transfer etti.
İkinci adım: Flaş Krediler al ve BYAC NFT'ye dönüştür
Saldırgan, Flaş Krediler aracılığıyla büyük miktarda BYAC Token borç aldı ve bunları 7594, 8214, 9915, 8167 ve 4755 numaralı 5 BYAC NFT'ye dönüştürdü.
Üçüncü adım: BYAC NFT kullanarak airdrop ödüllerini alın
Saldırgan, 6 NFT (aralarındaki 1060 numaralı satın alınan ve 5 adet takas edilen NFT de dahil) kullanarak airdrop talep etti ve ödül olarak toplamda 60.564 APE token aldı.
Dördüncü adım: BYAC NFT'yi basarak BYAC Token elde et
Flaş Kredileri geri ödemek için, saldırganın elde ettiği BYAC NFT'sini BYAC Token'a dönüştürdü. Aynı zamanda, kendi 1060 numaralı NFT'sini de dönüştürdü, böylece ek BYAC Token elde ederek Flaş Kredilerinin işlem ücretini ödeyebildi. Son olarak, kalan BYAC Token'ları satıp yaklaşık 14 ETH kazandı.
Kar durumu
Saldırgan, sonunda 60,564 APE token elde etti ve bu tokenlerin değeri yaklaşık 500,000 dolar. Saldırı maliyeti, 106 numaralı NFT'nin fiyatı (106 ETH) ile BYAC Token'ı satarak elde edilen 14 ETH'nin çıkarılmasıyla hesaplandı.
ders
Bu olay, yalnızca anlık duruma dayanarak airdrop yapmanın zayıflığını ortaya çıkardı. Durumu manipüle etme maliyeti, airdrop ödülünden düşük olduğunda saldırı fırsatları ortaya çıkıyor. Bu, airdrop mekanizmasını tasarlarken yalnızca bir anlık varlık sahipliği durumunu değil, daha fazla faktörü göz önünde bulundurmamız gerektiğini hatırlatıyor.
Bu tür, Flaş Krediler ve anlık durum kullanan saldırı yöntemleri, blockchain projelerinin güvenlik tasarımına yeni zorluklar getirmektedir. Gelecekteki projeler, benzer mekanizmaları tasarlarken daha dikkatli olmalı ve sistemin güvenliği ve adilliğini sağlamak için çeşitli olası saldırı senaryolarını göz önünde bulundurmalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
16 Likes
Reward
16
4
Repost
Share
Comment
0/400
AirdropSkeptic
· 13h ago
Yine birileri Klip Kuponlar yapıyor, buna şaşırmamak lazım.
APE Airdrop açığı kullanıldı Flaş Krediler ile Arbitraj 60564 APE coin
2022年3月17日,一起涉及APE Coin的可疑交易引起了广泛关注。根据社交媒体用户的报告,一些 arbitraj Botlar通过 Flaş Krediler获取了超过6万枚 APE,每枚价值约8美元。
Analiz sonucunda, bu olayın APE Coin'in airdrop mekanizmasındaki bir açığı ile ilgili olduğu belirlenmiştir. APE Coin'in airdrop uygunluğu, kullanıcıların belirli bir anda BYAC NFT'ye sahip olup olmamasına bağlıdır. Ancak, bu anlık durum manipüle edilebilir. Saldırganlar, Flaş Krediler aracılığıyla BYAC Token borç alarak, ardından BYAC NFT'ye dönüştürmekte, bu NFT'leri kullanarak APE airdrop'unu talep etmekte ve son olarak BYAC NFT'lerini tekrar BYAC Token'a basarak Flaş Krediler'i geri ödemektedir. Bu saldırı modeli, Flaş Krediler'e dayalı fiyat manipülasyonu saldırılarıyla oldukça benzerlik göstermekte olup, varlıkların anlık durumlarının manipüle edilebilme özelliğini kullanmaktadır.
Aşağıda belirli bir saldırı işleminin süreç analizi bulunmaktadır:
İlk adım: Saldırı hazırlığı
Saldırgan, 106 ETH fiyatıyla açık piyasalardan 1060 numaralı bir BYAC NFT satın aldı ve bunu saldırı sözleşmesine transfer etti.
İkinci adım: Flaş Krediler al ve BYAC NFT'ye dönüştür
Saldırgan, Flaş Krediler aracılığıyla büyük miktarda BYAC Token borç aldı ve bunları 7594, 8214, 9915, 8167 ve 4755 numaralı 5 BYAC NFT'ye dönüştürdü.
Üçüncü adım: BYAC NFT kullanarak airdrop ödüllerini alın
Saldırgan, 6 NFT (aralarındaki 1060 numaralı satın alınan ve 5 adet takas edilen NFT de dahil) kullanarak airdrop talep etti ve ödül olarak toplamda 60.564 APE token aldı.
Dördüncü adım: BYAC NFT'yi basarak BYAC Token elde et
Flaş Kredileri geri ödemek için, saldırganın elde ettiği BYAC NFT'sini BYAC Token'a dönüştürdü. Aynı zamanda, kendi 1060 numaralı NFT'sini de dönüştürdü, böylece ek BYAC Token elde ederek Flaş Kredilerinin işlem ücretini ödeyebildi. Son olarak, kalan BYAC Token'ları satıp yaklaşık 14 ETH kazandı.
Kar durumu
Saldırgan, sonunda 60,564 APE token elde etti ve bu tokenlerin değeri yaklaşık 500,000 dolar. Saldırı maliyeti, 106 numaralı NFT'nin fiyatı (106 ETH) ile BYAC Token'ı satarak elde edilen 14 ETH'nin çıkarılmasıyla hesaplandı.
ders
Bu olay, yalnızca anlık duruma dayanarak airdrop yapmanın zayıflığını ortaya çıkardı. Durumu manipüle etme maliyeti, airdrop ödülünden düşük olduğunda saldırı fırsatları ortaya çıkıyor. Bu, airdrop mekanizmasını tasarlarken yalnızca bir anlık varlık sahipliği durumunu değil, daha fazla faktörü göz önünde bulundurmamız gerektiğini hatırlatıyor.
Bu tür, Flaş Krediler ve anlık durum kullanan saldırı yöntemleri, blockchain projelerinin güvenlik tasarımına yeni zorluklar getirmektedir. Gelecekteki projeler, benzer mekanizmaları tasarlarken daha dikkatli olmalı ve sistemin güvenliği ve adilliğini sağlamak için çeşitli olası saldırı senaryolarını göz önünde bulundurmalıdır.