- Een onbekende gebruiker maakte gebruik van de manier waarop de ApeCoin airdrop werkte om er $1.1 miljoen van te verzamelen voor zichzelf.
- Ze gebruikten een flashloan om vijf BAYC NFTs te lenen, terwijl ze ook de airdrop claimden en de NFTs terugbetaalden - alles in een enkele transactie.

 

Even in het kort..

Yuga Labs, de makers van Bored Ape Yacht Club (BAYC), ApeCoin (APE) ge-airdropped aan iedereen die in het bezit is van een van hun NFTs. 

Het team heeft 150 miljoen tokens of 15% van de totale ApeCoin voorraad toegewezen aan houders van Bored Ape Yacht Club en Mutant Ape Yacht Club collecties, wat neerkomt op een duizelingwekkende waarde van meer dan $800 miljoen. Elke BAYC houder kreeg 10.094 tokens, met een waarde tussen $80.000 en $200.000.

Maar iemand vond een manier om de airdrop te claimen, door NFTs te gebruiken die ze oorspronkelijk niet bezaten. Ze maakten gebruik van de specifieke manier waarop de airdrop werkt om het uit te voeren. En het was een zeer effectieve zet die hen $1.1 miljoen in ApeCoin opleverde.

De truc was dat de ApeCoin airdrop niet werd uitgedeeld op basis van een momentopname van wie welke Bored Ape op een bepaald moment in het verleden bezat. In plaats daarvan kon iedereen die een Bored Ape had op het moment dat de airdrop geclaimd werd, er aanspraak op maken. Dus als je iemand je Bored Ape gaf - en je had de tokens nog niet geclaimd - dan kon die persoon jouw tokens claimen. 

Dit betekende dat de persoon alleen maar in het bezit hoefde te komen van een paar verveelde apen waarvan de tokens nog niet geclaimd waren - en ze hoefden maar heel even in het bezit van deze apen te zijn om de airdrop te claimen. In feite konden ze meteen teruggegeven worden.

 

Wat is er precies gebeurd?

Voor deze manoeuvre begon de persoon met het vinden van een vault die vijf Bored Ape NFTs bevatte, die niet waren gebruikt om de airdrop te claimen. 

Een kluis is een manier om een NFT of een set van NFT's te tokenizeren. Wat er gebeurt is dat je een groep NFTs neemt, ze in de vault stopt en een token maakt. Dit token kan vervolgens worden ingezet om token beloningen te verdienen, of het kan worden verkocht (wat een deel van de waarde van de verzameling van NFTs vertegenwoordigt). Iedereen die genoeg tokens bezit, kan ze inwisselen voor de onderliggende NFTs.

Deze kluis werd gecreëerd op een protocol genaamd NFTX. Het bevatte vijf Bored Apes: #7594, #8214, #9915, #8167, en #4755 met een waarde van ongeveer 500 ETH ($1,4 miljoen), gebaseerd op de huidige bodemprijs. Aangezien de NFT's in de kluis waren opgesloten en niet door een partij werden gecontroleerd, had niemand ze gebruikt om de airdrop te claimen.

De persoon wilde de NFT's ontgrendelen om ze te gebruiken om de airdrop te claimen, maar hij wilde ze niet rechtstreeks kopen - iets dat duur zou zijn om te doen. 

Dus gebruikten ze een flashloan, een hulpmiddel dat vaak wordt gebruikt voor grote DeFi hacks, om dit plan uit te voeren. Flash loans zijn een manier om grote hoeveelheden crypto te lenen tegen lage kosten, op basis van het feit dat de crypto wordt terugbetaald in dezelfde transactie in hetzelfde blok (wat betekent dat de fondsen nooit het risico lopen niet te worden terugbetaald). 

In dit geval kochten ze een Bored Ape op NFT-marktplaats OpenSea voor minder dan $300.000 en gebruikten die als onderpand om de flashloan af te sluiten. De flashloan werd vervolgens gebruikt om een grote hoeveelheid van de token van de kluis te kopen, waardoor ze de vijf NFT's konden aflossen. De NFTs werden gebruikt om de airdrop te claimen - alles in deze ene, complexe transactie - voordat ze allemaal werden teruggegeven, de tokens terug verkocht en de lening terugbetaald. 

In dit proces, slaagden zij erin om een airdrop van 60.564 ApeCoin te claimen. Ze verkochten deze tokens vervolgens op de gedecentraliseerde beurs Uniswap voor 399 ETH ($1,1 miljoen). Daarna verkochten ze de originele Bored Ape NFT die als onderpand werd gebruikt terug aan dezelfde NFTX-kluis. 

Aanval of arbitrage?

Hoewel veel sociale media commentatoren het incident begroetten als een innovatieve arbitrage handel, was beveiligingsbedrijf BlockSecTeam het daar niet mee eens. Het bedrijf bestempelde dit als een aanval waarbij misbruik werd gemaakt van een probleem in het airdrop-claiming mechanisme.

BlockSecTeam vertelde The Block dat op basis van zijn analyse, de gebruiker waarschijnlijk gebruik maakte van een "kwetsbaarheid" in het airdrop evenement van gisteren.

"We denken dat het een aanval is, omdat het airdrop-mechanisme een kwetsbaarheid heeft. De airdrop claim was afhankelijk van de spot state, of een gebruiker de NFT in bezit had op dat moment van claim en de aanvaller heeft deze kwetsbaarheid uitgebuit om te profiteren," aldus BlockSecTeam.

Een manier waarop dit voorkomen had kunnen worden is als de airdrop rekening had gehouden met hoe lang iemand de NFT in bezit had voordat de beloning geclaimd kon worden. 

Omdat Yuga Labs geen momentopname maakte - een methode die gebruikelijk is voor de meeste airdrops - betekende dit dat iedereen de NFT in real time kon kopen om het te claimen. Dit is waarschijnlijk de belangrijkste reden waarom de verkoop van de BAYC zo snel na de aankondiging van de airdrop omhoog schoot.