Spuštění ApeCoinu (APE), exkluzivní kryptoměny pro držitele Bored Apes, provázel okamžitý úspěch. První hack na sebe nenechal dlouho čekat a uživateli podařilo vydělat několik ETH. Podle bezpečnostní firmy CertiK neznámý uživatel využil systémových chyb v pravidlech a obdržel přes 60 000 APE. Poté provedl řadu složitých operací, které lze shrnout takto:
- koupil několik BAYC v poolu likvidity NFTX;
- získal aidrop (ApeCoin) za každého BAYC;
- prodal BAYC zpět do poolu likvidity NFTX;
- prodal ApeCoin a získal zisk.
Na konci operace uživatel vydělal 820 tisíc USD v Ethereu (ETH). CertiK vytvořil vlákno na Twitteru, kde vysvětluje všechny podrobnosti o útoku.
Jak uživatel vydělal na ApeCoinu 820 tisíc dolarů
Token APE zaznamenal silný skok ve své ceně krátce po svém spuštění. Zhodnocení dosáhlo 47 %, čímž se kryptoměna dostala do Top 100 CoinMarketCap. Zároveň se také zvýšila poptávka po BAYC, protože na airdrop APE by měli nárok pouze vlastníci NFT. Lidé se tedy vrhli do nákupu opic, což zvýšilo cenu sbírky jako celku.
Neznámý uživatel koupil nezaměnitelný token BAYC #1060. Nákup mu dal právo zúčastnit se airdropu a vydělat tak APE. Použil NFT jako záruku k získání flash půjčky k nákupu dalších pěti BAYC prostřednictvím platformy Vault NFTX. Tato platforma umožňuje vytvoření likvidity pro NFT.
Ve Vault NFTX mohou uživatelé uložit své NFT do trezoru a vytvořit token ERC20. Tento token lze směnit za NFT ve vaultu. V držení tokenů uživatel vykoupil následující BAYX: #7594, #8214, #9915, #8167 a #4755.
Se šesti BAYC v ruce uživatel během airdropu získat více APE. Podle CertiK se mu podařilo nashromáždit kolem 60 564 APE.
To bylo možné díky chybě v algoritmu distribuce airdropu, která se používá k výpočtu částky APE, kterou může každý nárokovat. Podle CertiK funkce vypočítá, kolik APE bude doručeno podle množství BAYC, které žadatel má. Nebere však v úvahu, jak dlouho má uživatel tyto NFT.
To znamenalo, že vše, co člověk musel udělat, bylo mít nějaké znuděné opice, které nenárokovaly své tokeny a k získání airdropu by je potřeboval mít jen na krátký okamžik. Poté je bylo možné rovnou vrátit.
Byl to právě případ dotyčného uživatele, který se stal bohatším. Po získání APE většinu z nich prodal výměnou za ETH, čímž dosáhl velkého zisku.
Útočník vyměnil vypůjčené BAYC zpět za tokeny ERC-20, přičemž zaplatil půjčku a síťové poplatky. Nakonec operace vedla k zisku 293 ETH.
