Analisis Kejadian Eksploitasi Kerentanan Airdrop APE Coin
Pada 17 Maret 2022, sebuah transaksi mencurigakan yang melibatkan APE Coin menarik perhatian industri. Setelah diselidiki, ditemukan bahwa ini berkaitan dengan celah dalam mekanisme airdrop APE Coin. Penyerang berhasil mendapatkan sejumlah besar APE Coin dengan cerdik memanfaatkan pinjaman kilat.
Analisis menunjukkan bahwa penilaian kelayakan airdrop APE Coin memiliki cacat desain. Sistem hanya memeriksa apakah pengguna memiliki BYAC NFT pada suatu waktu tertentu, tanpa mempertimbangkan bahwa status sesaat ini dapat dimanipulasi. Penyerang memanfaatkan hal ini dengan memperoleh kepemilikan BYAC NFT secara sementara melalui pinjaman kilat, sehingga dapat mengklaim hadiah airdrop.
Mode serangan ini mirip dengan serangan manipulasi harga yang berbasis pinjaman kilat. Dalam kasus yang terakhir, kontrak pintar sering kali bergantung pada harga instan dari suatu aset untuk menetapkan harga aset lainnya, dan harga instan ini sangat mudah untuk dimanipulasi.
Berikut ini kami akan menjelaskan seluruh proses dengan menganalisis sebuah transaksi serangan yang spesifik:
Proses Serangan
Langkah pertama: Persiapan kerja
Penyerang membeli satu BYAC NFT dengan nomor 1060 dari pasar terbuka seharga 106 ETH, dan mentransfernya ke kontrak serangan.
Langkah kedua: Meminjam pinjaman kilat dan menukarkan NFT BYAC
Penyerang meminjam banyak Token BYAC melalui pinjaman kilat, kemudian menukarkan Token tersebut menjadi 5 NFT BYAC (dengan nomor 7594, 8214, 9915, 8167, dan 4755).
Langkah 3: Klaim hadiah Airdrop
Penyerang berhasil mengklaim 60.564 token APE sebagai hadiah airdrop dengan memanfaatkan 6 NFT BYAC (termasuk nomor 1060 yang dibeli sebelumnya dan 5 yang baru ditukarkan).
Langkah keempat: Minting BYAC NFT untuk membayar pinjaman kilat
Untuk membayar kembali BYAC Token yang dipinjam, penyerang mencetak ulang BYAC NFT yang baru saja diperolehnya menjadi BYAC Token. Pada saat yang sama, dia juga mencetak NFT nomor 1060 yang dimilikinya untuk mendapatkan BYAC Token tambahan sebagai biaya pinjaman kilat. Akhirnya, penyerang menjual sisa BYAC Token di pasar dan memperoleh sekitar 14 ETH.
Pendapatan Serangan
Melalui operasi ini, penyerang berhasil mendapatkan 60.564 token APE, dengan nilai pasar sekitar 500.000 dolar AS pada saat itu. Mengingat biaya serangan (membeli NFT nomor 106 dengan 106 ETH dikurangi 14 ETH yang diperoleh dari penjualan token BYAC), penyerang masih memperoleh keuntungan yang signifikan.
Pelajaran dan Refleksi
Masalah yang terungkap dari kejadian ini adalah bahwa mekanisme airdrop APE terlalu bergantung pada status kepemilikan aset pengguna pada suatu saat, dan mengabaikan kemungkinan bahwa status ini dapat dimanipulasi secara sementara oleh pihak tertentu. Ketika biaya manipulasi lebih rendah dari imbalan airdrop, peluang arbitrase akan muncul, yang selanjutnya dapat memicu serangan.
Di masa depan, ketika merancang mekanisme serupa, kita harus mempertimbangkan indikator perilaku pengguna yang lebih jangka panjang dan stabil, bukan hanya bergantung pada keadaan pada satu momen. Selain itu, perlu juga memperkuat evaluasi dan pencegahan terhadap risiko keamanan yang mungkin ditimbulkan oleh alat keuangan baru seperti pinjaman kilat.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
10 Suka
Hadiah
10
5
Bagikan
Komentar
0/400
LiquidatedAgain
· 07-26 03:03
Saya sudah melihat cara jebakan Airdrop ini lebih awal, sekali lagi Rekt dengan leverage.
Lihat AsliBalas0
MEVSupportGroup
· 07-24 04:58
Sudah diambil lagi, eh.
Lihat AsliBalas0
TokenBeginner'sGuide
· 07-23 11:29
Pengingat ramah: Pemanfaatan Pinjaman Flash telah melebihi 85%, disarankan bagi Pemula untuk menjauh.
Lihat AsliBalas0
ser_we_are_ngmi
· 07-23 11:21
on-chain mendapatkan 50w secara gratis? Ini besar sekali
Kelemahan airdrop APE Coin dimanfaatkan, keuntungan $500.000 dari flash loan attack
Analisis Kejadian Eksploitasi Kerentanan Airdrop APE Coin
Pada 17 Maret 2022, sebuah transaksi mencurigakan yang melibatkan APE Coin menarik perhatian industri. Setelah diselidiki, ditemukan bahwa ini berkaitan dengan celah dalam mekanisme airdrop APE Coin. Penyerang berhasil mendapatkan sejumlah besar APE Coin dengan cerdik memanfaatkan pinjaman kilat.
Analisis menunjukkan bahwa penilaian kelayakan airdrop APE Coin memiliki cacat desain. Sistem hanya memeriksa apakah pengguna memiliki BYAC NFT pada suatu waktu tertentu, tanpa mempertimbangkan bahwa status sesaat ini dapat dimanipulasi. Penyerang memanfaatkan hal ini dengan memperoleh kepemilikan BYAC NFT secara sementara melalui pinjaman kilat, sehingga dapat mengklaim hadiah airdrop.
Mode serangan ini mirip dengan serangan manipulasi harga yang berbasis pinjaman kilat. Dalam kasus yang terakhir, kontrak pintar sering kali bergantung pada harga instan dari suatu aset untuk menetapkan harga aset lainnya, dan harga instan ini sangat mudah untuk dimanipulasi.
Berikut ini kami akan menjelaskan seluruh proses dengan menganalisis sebuah transaksi serangan yang spesifik:
Proses Serangan
Langkah pertama: Persiapan kerja
Penyerang membeli satu BYAC NFT dengan nomor 1060 dari pasar terbuka seharga 106 ETH, dan mentransfernya ke kontrak serangan.
Langkah kedua: Meminjam pinjaman kilat dan menukarkan NFT BYAC
Penyerang meminjam banyak Token BYAC melalui pinjaman kilat, kemudian menukarkan Token tersebut menjadi 5 NFT BYAC (dengan nomor 7594, 8214, 9915, 8167, dan 4755).
Langkah 3: Klaim hadiah Airdrop
Penyerang berhasil mengklaim 60.564 token APE sebagai hadiah airdrop dengan memanfaatkan 6 NFT BYAC (termasuk nomor 1060 yang dibeli sebelumnya dan 5 yang baru ditukarkan).
Langkah keempat: Minting BYAC NFT untuk membayar pinjaman kilat
Untuk membayar kembali BYAC Token yang dipinjam, penyerang mencetak ulang BYAC NFT yang baru saja diperolehnya menjadi BYAC Token. Pada saat yang sama, dia juga mencetak NFT nomor 1060 yang dimilikinya untuk mendapatkan BYAC Token tambahan sebagai biaya pinjaman kilat. Akhirnya, penyerang menjual sisa BYAC Token di pasar dan memperoleh sekitar 14 ETH.
Pendapatan Serangan
Melalui operasi ini, penyerang berhasil mendapatkan 60.564 token APE, dengan nilai pasar sekitar 500.000 dolar AS pada saat itu. Mengingat biaya serangan (membeli NFT nomor 106 dengan 106 ETH dikurangi 14 ETH yang diperoleh dari penjualan token BYAC), penyerang masih memperoleh keuntungan yang signifikan.
Pelajaran dan Refleksi
Masalah yang terungkap dari kejadian ini adalah bahwa mekanisme airdrop APE terlalu bergantung pada status kepemilikan aset pengguna pada suatu saat, dan mengabaikan kemungkinan bahwa status ini dapat dimanipulasi secara sementara oleh pihak tertentu. Ketika biaya manipulasi lebih rendah dari imbalan airdrop, peluang arbitrase akan muncul, yang selanjutnya dapat memicu serangan.
Di masa depan, ketika merancang mekanisme serupa, kita harus mempertimbangkan indikator perilaku pengguna yang lebih jangka panjang dan stabil, bukan hanya bergantung pada keadaan pada satu momen. Selain itu, perlu juga memperkuat evaluasi dan pencegahan terhadap risiko keamanan yang mungkin ditimbulkan oleh alat keuangan baru seperti pinjaman kilat.