Аирдроп Bored Ape Yacht Club: что привело к краже миллионов долларов в NFT

22 марта, 2022 / NFT

nft
Коллекция Bored Ape Yacht Club NFT объявила о запуске собственной криптовалюты: ApeCoin. В объявлении проекта сказано, что владельцы NFT Bored Ape Yacht Club или Mutant Ape Yacht Club смогут претендовать на бесплатные токены, распределенные в ходе аирдропа.

Каждый держатель BAYC получил по 10 094 токена стоимостью до $200 000. Однако, как выяснилось получить токены удалось не только владельцам NFT, но и злоумышленникам, изначально не владеющим ими. Хакерами была осуществлена атака под названием flash loan, за счет чего им удалось незаконно завладеть миллионами долларов США.

Стоит отметить, что данная проблема ранее обсуждалась сообществом в Twitter, однако создатели видимо не предали данным комментариям особого значения, что и привело к колоссальным потерям.

Что такое атака flash loan

Атака flash loan — это метод кредитования и возврата средств за транслируемую в блокчейне транзакцию.

С практической точки зрения, заемщику необходимо вернуть кредит до формирования блока (на что уходит несколько секунд), но если этого не происходит, то деньги возвращаются обратно их владельцу.

В отличие от обычного кредита, в данном случае не требуется залог либо идентификация, поэтому хакеры используют этот тип атаки не рискуя собственным капиталом. Возможность отслеживания кошелька также отсутствует, поскольку те используют чужие средства.

Процесс займа и кредитования автоматизирован, и при выполнении всех условий, и кредитор, и заемщик получают выгоду от кредита. Однако в случае несоблюдения условий контракта, транзакция подлежит отмене, а стороны остаются без прибыли.

Когда используют flash loan?

Разница стоимости активов на различных торговых площадках дает трейдерам возможность получения быстрой прибыли. Инструмент используется с целью покупки токенов по низкой цене на одной бирже и их продажи по более высокой цене на другой, таким образом, получая быструю прибыль и выплачивая кредит с той же транзакции.

Как работает атака flash loan?

Злоумышленники, использующие флэш-кредиты, могут манипулировать рынком, при этом соблюдая правила блокчейна. В некоторых случаях используются уязвимости в смарт-контрактах, что позволяет покупать токены за дешево или продавать их по завышенному курсу, а после использовать их для погашения кредита.

Атака BAYC NFT:

В случае аирдропа Bored Ape Yacht Club злоумышленникам следовало лишь найти BAYC NFT, которые еще не участвовали в в распределении монет. Для реализации плана они использовали протокол под названием NFTX.

Протокол NFTX позволяет пользователям вносить свои NFT в хранилище, а взамен чеканить токены, которыми можно торговать на таких платформах, как Sushi, Uniswap и Bancor.

Посредством NFTX, злоумышленники находили неиспользованные BAYC NFT.

Злоумышленники использовали приобретенные на OpenSea NFT ape 1060, которые далее использовались в качестве залога.


За счет этого им удалось завладеть 60 564 ApeCoin, после чего NFT были возвращены в NFTX для погашения кредита, и все это за одну транзакцию! После атаки злоумышленник продал токены ape на открытом рынке, выручив за них $1,5 миллиона.

Основная ошибка заключалась в том, что кураторы аирдропа ApeCoin не проверяли, как долго пользователи владеют Bored Ape NFT поэтому на них мог претендовать любой. Таким образом, для участия в аирдропе, злоумышленнику было достаточно завладеть NFT на короткое время.

Комментарии

Актуально

VK:083211