# APEコインエアドロップエクスプロイトイベント分析2022年3月17日、APE Coinに関連する疑わしい取引が業界の注目を集めました。調査の結果、これはAPE Coinのエアドロップメカニズムにおける1つの脆弱性に関連していることが判明しました。攻撃者は巧妙にフラッシュローンを利用し、大量のAPE Coinを成功裏に取得しました。分析によれば、APE Coinのエアドロップ資格判定には設計上の欠陥が存在します。システムは特定の時点でユーザーがBYAC NFTを保有しているかどうかのみを確認しており、この瞬間的な状態が人為的に操作される可能性を考慮していません。攻撃者はまさにこの点を利用し、フラッシュローンを通じて一時的にBYAC NFTの所有権を取得し、エアドロップ報酬を受け取っています。この攻撃パターンは、フラッシュローンに基づく価格操作攻撃に非常に似ています。後者では、スマートコントラクトがしばしばある資産の即時価格に依存して別の資産の価格を設定するため、この即時価格は操作されやすいのです。! [](https://img-cdn.gateio.im/social/moments-3ecce4480bccdb9f906c0493fad1b7c3)次に、具体的な攻撃取引を分析することで、全体のプロセスを詳細に説明します。## 攻撃プロセス###ステップ1:準備攻撃者は106 ETHの価格で公開市場から番号1060のBYAC NFTを購入し、それを攻撃契約に移転しました。! [](https://img-cdn.gateio.im/social/moments-f2f8baa413caba7830498a4dd409b507)### 第2ステップ:フラッシュローンを借り入れ、BYAC NFTを交換する攻撃者はフラッシュローンを通じて大量のBYACトークンを借入れ、その後これらのトークンを5枚のBYAC NFT(番号はそれぞれ7594、8214、9915、8167および4755)に交換しました。! [](https://img-cdn.gateio.im/social/moments-1307b16a3efc87b2a28686635eb387f0)### 第3ステップ:エアドロップ報酬を受け取る攻撃者は6枚のBYAC NFT(以前購入した1060号と新たに交換した5枚を含む)を利用して、60,564個のAPEトークンをエアドロップ報酬として受け取りました。! [](https://img-cdn.gateio.im/social/moments-943872edecab5f53adaf2fd0096ca0b1)### 第四歩:BYAC NFTを鋳造してフラッシュローンを返済する借り入れたBYACトークンを返済するために、攻撃者は新たに取得したBYAC NFTを再鋳造してBYACトークンにしました。同時に、彼は自分が所有する1060号NFTを鋳造して、追加のBYACトークンを得てフラッシュローンの手数料を支払いました。最後に、攻撃者は残りのBYACトークンを市場で販売し、約14 ETHを得ました。! [](https://img-cdn.gateio.im/social/moments-2a88d960c13e09d75102a8ef40809dd8)## アタックゲインこの操作により、攻撃者は合計60,564個のAPEトークンを獲得し、その時の時価総額は約50万ドルでした。攻撃コスト(1060号NFTの購入にかかった106 ETHからBYACトークンの販売で得た14 ETHを引いた額)を考慮すると、攻撃者は依然としてかなりの利益を得ました。! [](https://img-cdn.gateio.im/social/moments-15d6b7a15aeab8118fa836f8a8a974d3)## レッスン&リフレクション今回の事件が暴露した問題は、APEのエアドロップメカニズムが特定の時点におけるユーザーの資産保有状況に過度に依存しており、この状況が人為的に一時的に操作される可能性を無視していることです。操作コストがエアドロップの報酬を下回ると、アービトラージの機会が生まれ、攻撃を引き起こすことになります。! [](https://img-cdn.gateio.im/social/moments-19e7e9b7bf5d5dbcea0b52f20939b3cb)将来的にこのようなメカニズムを設計する際には、一時的な状態に依存するのではなく、より長期的で安定したユーザー行動指標を考慮すべきです。また、フラッシュローンなどの新興金融ツールがもたらす可能性のあるセキュリティリスクの評価と防止を強化する必要があります。! [](https://img-cdn.gateio.im/social/moments-87998d1f87b3eef11e605218318247c8)! [](https://img-cdn.gateio.im/social/moments-69334bb11681f3d6f752e91e73291e71)
APE Coinエアドロップ漏洞が利用され、フラッシュローン攻撃で50万ドルの利益を得る
APEコインエアドロップエクスプロイトイベント分析
2022年3月17日、APE Coinに関連する疑わしい取引が業界の注目を集めました。調査の結果、これはAPE Coinのエアドロップメカニズムにおける1つの脆弱性に関連していることが判明しました。攻撃者は巧妙にフラッシュローンを利用し、大量のAPE Coinを成功裏に取得しました。
分析によれば、APE Coinのエアドロップ資格判定には設計上の欠陥が存在します。システムは特定の時点でユーザーがBYAC NFTを保有しているかどうかのみを確認しており、この瞬間的な状態が人為的に操作される可能性を考慮していません。攻撃者はまさにこの点を利用し、フラッシュローンを通じて一時的にBYAC NFTの所有権を取得し、エアドロップ報酬を受け取っています。
この攻撃パターンは、フラッシュローンに基づく価格操作攻撃に非常に似ています。後者では、スマートコントラクトがしばしばある資産の即時価格に依存して別の資産の価格を設定するため、この即時価格は操作されやすいのです。
!
次に、具体的な攻撃取引を分析することで、全体のプロセスを詳細に説明します。
攻撃プロセス
###ステップ1:準備
攻撃者は106 ETHの価格で公開市場から番号1060のBYAC NFTを購入し、それを攻撃契約に移転しました。
!
第2ステップ:フラッシュローンを借り入れ、BYAC NFTを交換する
攻撃者はフラッシュローンを通じて大量のBYACトークンを借入れ、その後これらのトークンを5枚のBYAC NFT(番号はそれぞれ7594、8214、9915、8167および4755)に交換しました。
!
第3ステップ:エアドロップ報酬を受け取る
攻撃者は6枚のBYAC NFT(以前購入した1060号と新たに交換した5枚を含む)を利用して、60,564個のAPEトークンをエアドロップ報酬として受け取りました。
!
第四歩:BYAC NFTを鋳造してフラッシュローンを返済する
借り入れたBYACトークンを返済するために、攻撃者は新たに取得したBYAC NFTを再鋳造してBYACトークンにしました。同時に、彼は自分が所有する1060号NFTを鋳造して、追加のBYACトークンを得てフラッシュローンの手数料を支払いました。最後に、攻撃者は残りのBYACトークンを市場で販売し、約14 ETHを得ました。
!
アタックゲイン
この操作により、攻撃者は合計60,564個のAPEトークンを獲得し、その時の時価総額は約50万ドルでした。攻撃コスト(1060号NFTの購入にかかった106 ETHからBYACトークンの販売で得た14 ETHを引いた額)を考慮すると、攻撃者は依然としてかなりの利益を得ました。
!
レッスン&リフレクション
今回の事件が暴露した問題は、APEのエアドロップメカニズムが特定の時点におけるユーザーの資産保有状況に過度に依存しており、この状況が人為的に一時的に操作される可能性を無視していることです。操作コストがエアドロップの報酬を下回ると、アービトラージの機会が生まれ、攻撃を引き起こすことになります。
!
将来的にこのようなメカニズムを設計する際には、一時的な状態に依存するのではなく、より長期的で安定したユーザー行動指標を考慮すべきです。また、フラッシュローンなどの新興金融ツールがもたらす可能性のあるセキュリティリスクの評価と防止を強化する必要があります。
!
!