Titres Titres
Grâce à une chaîne sophistiquée de transactions, un utilisateur anonyme a sournoisement récupéré 1,1 million de dollars de l’ApeCoin Airdrop. Malgré le respect des règles d’achat autorisées, l’utilisateur a réussi à exploiter le système.
Lancement d’ApeCoin
Jeudi, les célèbres designers du Bored Ape Yacht Club, Yuga Labs, ont lancé un airdrop exclusif contenant des jetons ApeCoin (APC). Le lancement a notamment fait grimper les prix du gaz Ethereum quelques heures à peine après son début.
Après le lancement, les concepteurs Yuga Labs ont offert 15 % d’un milliard de jetons ApeCoin aux collectionneurs du Bored Ape Yacht Club (BAYC) et du Mutant Ape Yacht Club. La valeur collective de ces jetons BAYC s’élève à environ 800 millions de dollars. L’offre a divisé 10 094 unités APC à chaque détenteur de NFT, ce qui vaut environ 80 000 $ à 200 000 $.
Cependant, un utilisateur a trouvé un moyen de bénéficier du largage sans posséder de NFT BAYC. Ils ont réussi à réclamer des APC gratuits en exploitant l’algorithme utilisé pour allouer des jetons dans l’Airdrop. En effet, ils ont récupéré pour 1,1 million de dollars d’ApeCoins.
Comment ils ont déjoué le processus de largage aérien
Voici comment ils ont réussi la cascade. Le système n’a sélectionné que des candidats qualifiés pour le largage en fonction des propriétaires actuels de BAYC. Sans tenir compte de l’historique de propriété, les personnes qui prennent possession des NFT Bored Ape juste avant le largage sont incluses dans le cadeau. De cette façon, on peut profiter du système en possédant momentanément des NFT BAYC pour le largage.
En un mot, on pourrait prêter Bored Apes simplement dans le but de bénéficier du largage, puis rendre le NFT au propriétaire peu de temps après.
Pour exécuter l’escroquerie, la personne a d’abord trouvé un coffre-fort contenant cinq BAYC qui n’ont pas été échangés contre des ApeCoins.
Les coffres sont utilisés pour tokeniser les NFT. Les gens peuvent collecter quelques NFT et les placer dans un coffre-fort. Ce faisant, les NFT deviennent des jetons que les propriétaires peuvent vendre ou miser pour gagner des récompenses. De la même manière, les gens peuvent retourner ces jetons à leurs NFT respectifs.
Pour sécuriser Bay Apes non réclamés, l’acteur a utilisé un coffre-fort construit sur NFTX. Ce coffre-fort abritait cinq BAYC; #8167, #9915, #4755, #7594. Selon le prix plancher, la valeur collective de ces NFT s’élève à 1,4 million de dollars. Les Bay Apes étaient assis les bras croisés dans le coffre-fort, n’appartenant ni contrôlés par personne. En conséquence, personne ne les avait échangés contre des jetons ApeCoin.
Cependant, la personne voulait en prendre possession uniquement pour réclamer les APC largués, car les acheter aurait coûté une fortune. Pour contourner ce problème, ils ont recherché des prêts DeFi.
Déployer des prêts flash dans Flash Steal
Les prêts flash sont un moyen pratique d’emprunter de la crypto en grande quantité sur l’espace DeFi. Ces prêts ont une structure à faible risque. Le protocole utilisé pour le traitement des opérations de prêt assure le remboursement des créances.
Le voleur de jetons APC a acheté un BAYC NFT sur OpenSea pour moins de 300 000 $, puis l’a utilisé comme garantie pour obtenir un prêt flash. Avec les fonds prêtés, ils ont racheté cinq Bored Apes du coffre-fort NFTX.
Par conséquent, ils ont pu réclamer le largage aérien APC avec les NFT du coffre-fort. Ils ont échangé les jetons acquis contre 399 ETH (~ 1,1 million de dollars) sur Uniswap. La personne a renvoyé les Bored Apes dans le coffre-fort, les reconvertissant en jetons. Enfin, ils ont utilisé les jetons pour effacer leur dette de prêt flash.
Listes blanches, hacks blancs et acceptation
Bien qu’il y ait eu des applaudissements adressés à l’utilisateur anonyme pour une éventuelle tentative de génie, certains ont qualifié l’ensemble de l’opération d’attaque. L’utilisateur exploite des trous dans la liste d’autorisation du processus de largage.
La société de sécurité Blockchain, BlockSec Team, insiste sur le fait que l’utilisateur aurait tout aussi bien pu être un attaquant au chapeau noir. La société de sécurité suggère que l’attaque est similaire aux précédentes manœuvres du chapeau noir avec les prix.
4/4) Nous pensons qu’il est similaire à l’attaque de manipulation de prix qu’un contrat utilise le prix au comptant pour déterminer la valeur d’un actif.
– BlockSec (@BlockSecTeam) 17 mars 2022
Récemment, un hacker au chapeau blanc a repéré une vulnérabilité de « liste blanche » dans l’algorithme de Coinbase et a reçu une prime. Dans ce cas, cependant, un exploit a eu lieu sans rapports d’avertissement, et certainement pas de primes nobles.
