Certik Alert (@CertikAlert) บัญชีเตือนภัยการแฮ็ก, rug-pull, และอื่น ๆ อีกมากมายสำหรับชาวคอมมิวนิตีคริปโต ออกมารายงานเรื่อง “ApeCoin” ที่ถูกโจมตีแบบ flash loan ผ่านอิเวนต์แจก Airdrop รวม ๆ แล้วเสียหายถึง 293 ETH หรือคิดเป็น 27 ล้านบาทเลยทีเดียว
Certik Alert ชี้แจงถึงรายละเอียดของเหตุการณ์ไว้ว่า
1. Attacker ซื้อ BAYC No.1060 จาก OpenSea และนำไปใช้เป็นค่าธรรมเนียมสำหรับ flash loan โทเค็น 5.2 BAYC จาก “NFTX Vault”
2. จากนั้น Attacker ก็นำโทเค็น BAYC ที่ flash loan ได้ (ในข้อที่ 1) ไป Redeem BAYC NFT (ไอดีของโทเค็น NFT คือ: 7594, 8214, 9915, 8167, และ 4755)
3. เสร็จแล้วก็รับโทเค็น ApeCoin จำนวน 60,564 เป็นรางวัลจาก Airdrop และแลก $APE เกือบหมดเป็น ETH
4. สุดท้าย Attacker ก็ Mint BAYC NFT (ที่ได้จากการ flash loan) ให้เป็นโทเค็น BAYC เพื่อจ่ายค่า flash loan กับค่าธรรมเนียมคืน
โดยฟังก์ชัน getClaimableTokenAmountAndGammaToClaim() ใน AirdropGrapesToken contract (ที่ใช้ในอิเวนต์แจก Airdrop ครั้งนี้) ให้ผู้ถือ BAYC คำนวณจำนวนเหรียญที่ claim ได้ ซึ่งคำนวณแค่ “จำนวน BAYC” ที่ถือ ไม่ได้คำนวณ “ระยะเวลาที่ถือ” ด้วย ก็เลยกลายเป็นช่องโหว่ให้ Flash Loan ได้
