BTC/HKD+0.67%
ETH/HKD+1.13%
LTC/HKD+0.94%
DOT/HKD+2.57%
ADA/HKD+0.7%
SOL/HKD+1.35%
XRP/HKD+0.28%
DOGE/US+1.72%北京時間2022年3月17日,我們的系統監控到涉及APECoin的可疑交易,根據twitter用戶WillSheehan的報告,套利機器人通過閃電貸薅羊毛,拿到6W多APECoin。
我們經過分析后,發現這和APECoin的空投機制存在漏洞有關。具體來說,APECoin決定能否空投取決于某一個用戶是否持有BYACNFT的瞬時狀態,而這個瞬時狀態攻擊者是可以通過借入閃電貸然后redeem獲得BYACNFT來操縱的。攻擊者首先通過閃電貸借入BYACToken,然后redeem獲得BYACNFT。然后使用這一些NFT來claim空投的APE,最后將BYACNFTmint獲得BYACToken用來返還閃電貸。我們認為這個模式同基于閃電貸的價格操縱攻擊非常類似。
幣安將下架MITH、TRIBE、REP、BTCST代幣:12月15日消息,幣安將于2022年12月22日17:00停止交易并下架以下幣種:Mithril (MITH)、Tribe (TRIBE)、Augur (REP)和Bitcoin Standard Hashrate Token (BTCST)。移除的交易對有MITH/USDT、TRIBE/BUSD、REP/USDT、BTCST/BUSD。[2022/12/15 21:46:17]
接下來,我們使用一個攻擊交易(https://versatile.blocksecteam.com/tx/eth/0xeb8c3bebed11e2e4fcd30cbfc2fb3c55c4ca166003c7f7d319e78eaab9747098)來簡述整個過程。
SudoSwap NFT總交易量突破25萬枚:金色財經報道,Dune數據顯示,NFT交易平臺Sudoswap NFT總交易量已突破25萬枚,目前為250,390枚NFT。此外,Sudoswap總用戶量達到36,376個;AMM總交易額達到77,443,956美元,平臺總交易費用收入為384,267美元。[2022/12/6 21:26:27]
StepI:攻擊準備
畢馬威:2023年將在Web3和元宇宙中投入3000萬美元:金色財經報道,據《財富》雜志消息,畢馬威美國和加拿大公司已宣布 2023 年將在元宇宙和 Web 3上投資 3000 萬美元,包括推出一個協作中心。畢馬威美國企業創新負責人 Cliff Justice 透露,畢馬威將在美國創建一個卓越中心,目前還推出一個工作室孵化器來測試圍繞 Web3 和元宇宙構建新想法和服務,還預留了資金,旨在與客戶一起探索相關領域、以及B2B和B2C業務。[2022/6/28 1:36:38]
攻擊者購買了編號1060的BYACNFT并且轉移給攻擊合約。這個NFT是攻擊者花了106ETH在公開市場購買的。
Web3自行車健身Ride To Earn項目BikeRush社區用戶突破10萬:5月23日消息,Web3 自行車健身 Ride To Earn 項目 BikeRush 官方宣布,目前社區用戶已經突破 10 萬人,申請 NFT 首輪空投及內測邀請碼排隊人數突破 15 萬。據悉,BikeRush 項目治理 Token BRT 即將上線主流交易平臺及 pancake 去中心化平臺,BRT 總量 50 億個,首期流通量 2.2 億個,發行價格為 0.05USD,團隊鎖倉 24 個月不釋放,機構投資者鎖倉 12 個月不釋放。[2022/5/23 3:35:23]
StepII:借入閃電貸并且redeem成BYACNFT
攻擊者通過閃電貸借入大量的BYACToken。在這個過程中,攻擊者通過redeemBYACtoken獲得了5個BYACNFT。
StepIII:通過BYACNFT領取空投獎勵
在這個過程中,攻擊者使用了6個NFT來領取空投。1060是其購買,其余5個是在上一步獲得。通過空投,攻擊者共計獲得60,564APEtokens獎勵。
StepIV:mintBYACNFT獲得BYACToken
攻擊者需要歸還借出的BYACToken。因此它將獲得BYACNFTmint獲得BYACToken。這個過程中,他還將其自己的編號為1060NFT也進行了mint。這是因為需要額外的BYACToken來支付閃電貸的手續費。然后將還完手續費后的BYACToken賣出獲得14ETH。
獲利
攻擊者獲得60,564APEtoken,價值50W美金。其攻擊成本為1060NFT減去售賣BYACToken得到的14ETH。
Lessons
我們認為問題根源在于APE的空投只考慮瞬時狀態。而這個假定是非常脆弱的,很容易被攻擊者操控。如果攻擊者操控狀態的成本小于獲得的APE空投的獎勵,那么就會創造一個實際的攻擊機會。
Tags:NFTYACTOKEKENFyooz NFTYacht CoinKTN TokenQuick Mining Token
瑞士加密貨幣行業著力解決勞動力短缺問題保羅·阿爾多伊諾(PaoloArdoino)是泰達及其姊妹公司Bitfinex加密貨幣交易所的首席技術官.
1900/1/1 0:00:00去中心化交易所(DEX)和自動做市商(AMM)最近推出了漩渦池,使協議用戶能夠訪問集中流動性池。不久之后,流行的web3生活方式應用STEPN集成了Orca的池來為它的交易提供動力.
1900/1/1 0:00:00WorldMobile宣布聘用SteveJames為其新的CMO,James為人才濟濟的WorldMobile團隊帶來了新的力量,這一決定標志著WorldMobile正在大規模擴展市場及用戶群.
1900/1/1 0:00:00治理V0版本在這里:ORCA代幣持有者現在可以在我們全新的論壇上分享他們的想法,并在governance.orca.so上提交鏈上的提案。從第一天起,我們就致力于建立一個由社區管理的開放平臺.
1900/1/1 0:00:00Jan.2022,GeorgeDataSource:DecentralizedDomainNames2021年11月,去中心化域名項目ENS發行其項目Token并向社區空投.
1900/1/1 0:00:002021年8月,TokenTerminal數據顯示,NFT區塊鏈游戲AxieInfinity以高達3.34億美元的30日營收業績,遠遠超過《王者榮耀》在7月的2.31億美元收入.
1900/1/1 0:00:00
比特幣交易所
