Um proprietário de token não fungível (NFT) do Bored Ape Yacht Club (BAYC) explorou uma vulnerabilidade no contrato inteligente que lançou tokens ApeCoin (BINA:APEUSDT) para membros da comunidade, saindo com quase US$ 380.000 em lucros.

O exploit do airdrop da ApeCoin foi explicada em detalhes pelo gerenciador de ativos digitais e provedor de plataforma de negociação Amber Group, que disse que é provavelmente o primeiro exploit a ser executada com NFTs e NFT automatizados market makers (AMMs) no Ethereum (ETH).

Um exploit é um código que tira proveito de uma vulnerabilidade de software ou falha de segurança. Ele é escrito por pesquisadores de segurança como uma ameaça de proof-of-concept ou por agentes mal-intencionados para uso em suas operações.

De acordo com o passo a passo bastante técnico do exploit que o Amber Group publicou em seu blog, para obter ETH 14,15 (USD 42.710) e APE 60.564 (USD 656.514), o explorador pagou ETH 106 (USD 319.944) – ou seja, ele andou com um lucro de US$ 379.280 pelos preços atuais.

O exploit aconteceu poucos minutos depois que a Organização Autônoma Descentralizada ApeCoin (DAO) iniciou seu airdrop, enquanto os preços do gás no Ethereum ainda estavam elevados à medida que os usuários corriam para reivindicar seus novos tokens APE.

“5 minutos após o airdrop, um reclamante bem preparado alavancou a liquidez do BAYC na NFTX para uma arbitragem/exploração bastante inteligente”, disse o Amber Group sobre o incidente no Twitter.

E enquanto a pessoa que atacou o contrato inteligente conseguiu mais que dobrar seu investimento inicial, o Amber Group disse na postagem do blog que ainda conseguiu reproduzir os resultados.

“Com base nas informações mencionadas, podemos reproduzir o exploit comprando alguns vTokens BAYC no SushiSwap e usando esses vTokens como taxas de resgate/cunhagem”, escreveu a empresa. Ele acrescentou que todos os tokens APE disponíveis podem ser resgatados usando uma função de “empréstimo em flash”.

Empréstimos flash são um tipo de empréstimo sem garantia que às vezes é ativado por protocolos de finanças descentralizadas ( DeFi ). Os empréstimos estão no centro de várias exploits de DeFi e outros incidentes nos últimos anos.

“Com a ajuda de nossa plataforma interna de análise de dados blockchain, identificamos 8.647 de 10 mil BAYCs como tendo sido usados ​​para reivindicar o ApeCoin gratuito no final de 21 de março de 2022. Isso significa que, no momento da redação, ainda é possível que colete alguns macacos, reivindique o airdrop da ApeCoin e obtenha lucro”, os pesquisadores do Amber Group concluíram o artigo dizendo.

Às 14h40 (horário de Brasília), o preço do APE (BINA:APEUSDT) não parecia ter sido afetado pelo incidente. O token subiu 8,82% nas últimas 24 horas, sendo negociado a um preço de US$ 11,47.

_{Com informações de Cryptonews}