KEN:詳解APE空投漏洞-ODAILY_WEB3Token

Author：

Time：1900/1/1 0:00:00

北京時間2022年3月17日，我們的系統監控到涉及APECoin的可疑交易，根據twitter用戶WillSheehan的報告，套利機器人通過閃電貸薅羊毛，拿到6W多APECoin。

我們經過分析后，發現這和APECoin的空投機制存在漏洞有關。具體來說，APECoin決定能否空投取決于某一個用戶是否持有BYACNFT的瞬時狀態，而這個瞬時狀態攻擊者是可以通過借入閃電貸然后redeem獲得BYACNFT來操縱的。攻擊者首先通過閃電貸借入BYACToken，然后redeem獲得BYACNFT。然后使用這一些NFT來claim空投的APE，最后將BYACNFTmint獲得BYACToken用來返還閃電貸。我們認為這個模式同基于閃電貸的價格操縱攻擊非常類似。

Mantle Network已通過將最高20萬枚ETH進行質押的社區提案投票:8月8日消息，BitDAO模塊化以太坊Layer 2網絡Mantle Network已通過將Mantle Treasury中的最高20萬枚ETH進行質押的社區提案投票。該提案內容包括設立Mantle經濟委員會，并授權合計限額高達20萬枚ETH的質押策略，其中Lido ETH質押策略的單獨限額高達4萬枚ETH，并在以太坊L1和Mantle L2 DEX上構建stETH-ETH和mntETH-ETH LP交易對。[2023/8/8 21:31:23]

接下來，我們使用一個攻擊交易(https://versatile.blocksecteam.com/tx/eth/0xeb8c3bebed11e2e4fcd30cbfc2fb3c55c4ca166003c7f7d319e78eaab9747098)來簡述整個過程。

無代碼NFT平臺 Vibe 完成 400 萬美元融資:金色財經報道，提供從 NFT 到產品的解決方案的平臺 Vibe 完成 400 萬美元融資， Alchemy 的風險投資部門 Aglaé Ventures 和 K-Pop 藝術家 Psy 的音樂品牌 P Nation 等參投。[2023/5/4 14:43:08]

StepI:攻擊準備

DappRadar推出PRO 2.0和質押計劃:4月25日消息，DappRadar推出PRO 2.0和質押計劃。PRO 2.0指的是用戶必須質押30,000個RADAR代幣才能成為會員，并推出包括搶先體驗新功能、額外獎勵、個性化支持、獨家內容等會員功能。此外，新的質押計劃引入30天的提款冷卻期，使DAO能夠更好地控制RADAR代幣的流通供應。還引入了由DAO確定APR的RADAR獎勵。

現有Staking (V2) 將于2023年4月26日結束，所有質押者都需要將其代幣遷移到新的質押合約。[2023/4/26 14:26:46]

攻擊者購買了編號1060的BYACNFT并且轉移給攻擊合約。這個NFT是攻擊者花了106ETH在公開市場購買的。

Lindsay Lohan等6位名人已同意支付40萬美元就兜售TRX或BTT與美SEC和解:金色財經報道，美國女演員Lindsay Lohan、說唱歌手Akon和其他幾位名人已同意支付總計超過40萬美元的違約金、利息和罰金，就向社交媒體粉絲推廣TRX和BitTorrent與美國證券交易委員會（SEC）達成和解。

此前報道，美 SEC對孫宇晨及其三家全資公司提出指控，稱其涉嫌非法銷售證券、欺詐和操控市場，同時指控8名名人在未披露的情況下非法兜售TRX或BTT，SEC聲稱這些名人是為了推廣 TRX 和 BitTorrent（BTT）而獲得報酬，此外說唱歌手Soulja Boy和流行歌手Austin Mahone還未與美SEC達成和解。（《華盛頓郵報》）[2023/3/23 13:20:58]