Содержание статьи
Неизвестный пользователь воспользовался тем, как работает аирдроп ApeCoin, чтобы получить для себя 1,1 миллиона долларов. Он использовал мгновенный кредит, чтобы занять пять BAYC NFT, тут же затребовал свои APE и погасил NFT — и все это за одну транзакцию.
Вчера Yuga Labs, создатели яхт-клуба Bored Ape (BAYC), раздали ApeCoin (APE) всем, кто владеет хотя бы одним из их NFT.
Команда выделила 150 миллионов токенов или 15% от общего количества монет ApeCoin владельцам коллекций Bored Ape Yacht Club и Mutant Ape Yacht Club на ошеломляющую сумму в более чем 800 миллионов долларов. Каждый держатель BAYC получил 10 094 токена стоимостью от 80 000 до 200 000 долларов.
Но кто-то нашел способ получить аирдроп, используя NFT, которыми изначально не владел. Он воспользовался особым способом работы аирдропа для его проведения. И это был очень эффективный шаг, который принес ему 1,1 миллиона долларов в ApeCoin.
Хитрость заключалась в том, что аирдроп ApeCoin не раздавался на основе снимка того, кому принадлежала какая Bored Ape в определенное время в прошлом. Вместо этого на него мог претендовать любой, у кого была скучающая обезьяна на момент получения аирдропа. Так что, если вы отдали кому-то свою Bored Ape — и еще не забрали токены — то он сможет забрать ваши APE.
Это означало, что все, что нужно было сделать человеку, — это завладеть некоторыми скучающими обезьянами, за которых не были запрошены токены. При этом завладеть этими обезьянами нужно было только на короткое время, чтобы получить аирдроп. На самом деле, их можно было сразу вернуть.
Так что случилось?
Для этого маневра человек начал с того, что нашел хранилище, содержащее пять NFT Bored Ape, которые не использовались для получения аирдропа.
Хранилище — это способ токенизации NFT или набора NFT. Происходит следующее: вы берете группу NFT, помещаете их в хранилище и создаете токен. Затем этот токен можно поставить, чтобы получить вознаграждение за токен, или его можно продать (представляя часть стоимости коллекции NFT). Любой, кто владеет достаточным количеством токенов, может обменять их на базовые NFT.
Это хранилище было создано по протоколу NFTX. Он содержал пять Bored Apes: № 7594, № 8214, № 9915, № 8167 и № 4755 на сумму около 500 ETH (1,4 миллиона долларов США) исходя из текущей минимальной цены. Поскольку NFT были заперты в хранилище и не контролировались какой-либо одной стороной, никто не использовал их для получения аирдропа.
Человек хотел разблокировать NFT, чтобы использовать их для получения аирдропа, но он не хотел покупать их напрямую — это было бы дорого.
Поэтому он использовал флэш-кредит, инструмент, часто используемый для крупных сделок или взломов DeFi, для выполнения этого плана. Флэш-кредиты — это способ занять большие суммы в криптовалюте по низкой цене на том основании, что криптовалюта погашается в той же транзакции в том же блоке (это означает, что средства будут возвращены в любом случае).
Некто купил Bored Ape на торговой площадке NFT OpenSea менее чем за 300 000 долларов и использовал его в качестве залога для получения мгновенного кредита. Затем флэш-кредит был использован для покупки большого количества токенов хранилища, что позволило ему выкупить пять NFT. NFT использовались для получения аирдропа. И все в одной сложной транзакции — до того, как все NFT были возвращены, токены проданы обратно и кредит погашен.
В этом процессе ему удалось получить 60 564 ApeCoin. Затем он продали эти токены на децентрализованной бирже Uniswap за 399 ETH (1,1 миллиона долларов). После этого он продал оригинальный Bored Ape NFT, который использовался в качестве залога в том же хранилище NFTX.
Атака или арбитраж?
Несмотря на то, что многие комментаторы в социальных сетях приветствовали инцидент как новаторскую арбитражную сделку, охранная фирма BlockSecTeam не согласилась. Она назвала это атакой, в которой использовалась проблема в механизме подачи заявок на раздачу.
BlockSecTeam сообщила, что на основе проведенного анализа пользователь, вероятно, воспользовался «уязвимостью» во вчерашнем аирдропе.
«Мы думаем, что это атака, поскольку в механизме раздачи есть уязвимость. Заявка на раздачу зависит от состояния спота, от того, держал ли пользователь NFT в момент подачи заявки, и злоумышленник использовал эту уязвимость для получения прибыли», — сказали в BlockSecTeam.
Этого можно было бы избежать, если бы при раздаче учитывалось, как долго человек владел NFT, прежде чем можно было запросить вознаграждение.
Поскольку Yuga Labs не делала снимок — метод, который является обычным для большинства аирдропов — это означало, что любой мог купить NFT в режиме реального времени, чтобы получить его. Вероятно, это основная причина, по которой продажи BAYC резко выросли вскоре после объявления об аирдропе.
Источник: Источник
