El usuario reclama ApeCoins lanzadas desde el aire al explotar la supervisión de la lista blanca

A través de una cadena sofisticada de transacciones, un usuario anónimo tomó astutamente $ 1.1 millones de ApeCoin Airdrop. A pesar de apegarse a las reglas de compra permitidas, el usuario logró explotar el sistema.

Lanzamiento de ApeCoin

El jueves, los famosos diseñadores del Bored Ape Yacht Club, Yuga Labs, lanzaron un airdrop exclusivo que contenía tokens ApeCoin (APC). El lanzamiento aumentó notablemente los precios del gas Ethereum apenas unas horas después de su inicio.

Tras el lanzamiento, los diseñadores Yuga Labs ofrecieron el 15 % de mil millones de tokens ApeCoin a los coleccionistas de Bored Ape Yacht Club (BAYC) y Mutant Ape Yacht Club. El valor colectivo de estos tokens BAYC asciende a aproximadamente $800 millones. La oferta dividió 10,094 unidades de APC para cada titular de NFT, que tiene un valor de alrededor de $ 80,000 a $ 200,000.

Sin embargo, un usuario encontró una manera de beneficiarse del airdrop sin tener ningún BAYC NFT. Reclamaron con éxito APC gratis al explotar el algoritmo utilizado para asignar tokens en Airdrop. En efecto, arrebataron $ 1.1 millones en ApeCoins.

Cómo burlaron el proceso Airdrop

Así es como lograron el truco. El sistema solo seleccionó candidatos calificados para el airdrop en función de los propietarios actuales de BAYC. Sin tener en cuenta el historial de propiedad, las personas que obtienen NFT de Bored Ape justo antes del lanzamiento aéreo se incluyen en el sorteo. De esta manera, uno puede aprovechar el sistema al poseer momentáneamente BAYC NFT para el lanzamiento aéreo.

En pocas palabras, uno podría prestar Bored Apes simplemente con el propósito de beneficiarse del airdrop, y luego devolver el NFT al propietario poco después.

Para ejecutar la estafa, la persona primero encontró una bóveda que contenía cinco BAYC que no se habían canjeado por ApeCoins.

Las bóvedas se utilizan para tokenizar NFT. Las personas pueden recolectar un par de NFT y colocarlos en una bóveda. Al hacerlo, los NFT se convierten en tokens que los propietarios pueden vender o apostar para obtener recompensas. De la misma manera, las personas pueden convertir estos tokens en sus respectivos NFT.

Para asegurar Bay Apes no reclamados, el actor usó una bóveda construida en NFTX. Esta bóveda albergaba cinco BAYC; #8167, #9915, #4755, #7594. De acuerdo con el precio mínimo, el valor colectivo de estos NFT resulta en $ 1,4 millones. Los monos de la bahía se sentaron ociosos en la bóveda, sin pertenecer ni estar controlados por nadie. Como resultado, nadie los había canjeado por tokens ApeCoin.

Sin embargo, la persona quería apoderarse de ellos únicamente por reclamar los APC lanzados desde el aire, ya que comprarlos habría costado una fortuna. Para solucionar este problema, buscaron préstamos DeFi.

Implementación de préstamos flash en robo flash

Los préstamos flash son una forma práctica de pedir prestadas criptomonedas en grandes cantidades en el espacio DeFi. Estos préstamos tienen una estructura de bajo riesgo. El protocolo utilizado para la tramitación de las operaciones de préstamo asegura la devolución de las deudas.

El ladrón de tokens de APC compró un BAYC NFT en OpenSea por menos de $300,000 y luego lo usó como garantía para cobrar un préstamo rápido. Con los fondos prestados, canjearon cinco monos aburridos de la bóveda de NFTX.

Por lo tanto, pudieron reclamar el lanzamiento aéreo de APC con los NFT de la bóveda. Intercambiaron los tokens adquiridos por 399 ETH (~$1,1 millones) en Uniswap. La persona devolvió los monos aburridos a la bóveda, convirtiéndolos de nuevo en fichas. Por último, usaron los tokens para liquidar su deuda de préstamo flash.

Listas blancas, hacks blancos y aceptación

Si bien ha habido aplausos dirigidos al usuario anónimo por un posible intento genial, algunos calificaron toda la operación como un ataque. El usuario aprovecha los agujeros en la lista de permitidos del proceso airdrop.

La empresa de seguridad Blockchain, BlockSec Team, insiste en que el usuario también podría haber sido un atacante de sombrero negro. La firma de seguridad sugiere que el ataque es similar a las maniobras black-hat anteriores con los precios.

4/4) Creemos que es similar al ataque de manipulación de precios que un contrato utiliza el precio al contado para determinar el valor de un activo.

– BlockSec (@BlockSecTeam) 17 de marzo de 2022

Recientemente, un hacker de sombrero blanco detectó una vulnerabilidad de «lista blanca» en el algoritmo de Coinbase y recibió una recompensa. En este caso, sin embargo, se llevó a cabo una hazaña sin informes de advertencia, y definitivamente no hubo recompensas nobles.