O lançamento da ApeCoin (APE), criptomoeda exclusiva para os detentores dos Bored Apes, foi um sucesso imediato. Todavia, a repercussão da APE também atraiu a atenção de inúmeros golpes. Em um deles, um usuário conseguiu lucrar quase R$ 5 milhões por meio de uma operação fraudulenta.
De acordo com a empresa de segurança CertiK, o usuário desconhecido usou as regras do sistema e recebeu mais de 60 mil APE. Em seguida ele realizou uma série de operações complexas, que podem ser resumidas dessa forma:
- compraram todos os BAYCs no pool de liquidez NFTX;
- pegaram o aidrop (ApeCoin) de cada BAYC;
- venderam os BAYCs (sem o airdrop disponível) de volta ao pool de liquidez NFTX;
- venderam as ApeCoin e embolsaram o lucro.
No final da operação, o usuário teria lucrado US$ 820 mil em Ether (ETH), que correspondem a R$ 4,18 milhões em valores atuais. A CertiK criou um fio no Twitter onde explica todos os detalhes a respeito do ataque.
Incident Analysis
1. The attacker bought NFT No.1060 from OpenSea, which was later used as the flash loan fee to flash loan 5.2 BAYC tokens from the "NFTX Vault"
2. Then used the BAYC tokens borrowed in step 1 to redeem BAYC NFTs (NFT token ID: 7594, 8214, 9915, 8167, 4755) pic.twitter.com/YlU8nWI41n
— CertiK Alert (@CertiKAlert) March 17, 2022
Empréstimos em curto espaço de tempo
Conforme noticiou o CriptoFácil, a APE teve um forte salto no seu preço logo após o lançamento. A valorização atingiu 47%, levando a criptomoeda ao Top 100 do CoinMarketCap.
Ao mesmo tempo, a demanda pelos BAYC também aumentou, visto que apenas os donos dos NFTs teriam direito ao airdrop da APE. Dessa forma, as pessoas correram para comprar os macacos, o que elevou o preço da coleção como um todo.
Confira nossas sugestões de Pre-Sales para investir agora
Nesse sentido, o usuário desconhecido aproveitou justamente este aumento da demanda e comprou um exemplar, o BAYC #1060. A compra lhe deu o direito de participar do airdrop e, portanto, ganhar uma quantidade de APE.
Com um exemplar em mãos, o usuário utilizou o NFT como garantia para pegar mais cinco BAYC através da plataforma Vault NFTX. Esta plataforma permite a criação de liquidez para NFTs que possuem dificuldade de serem negociados.
No Vault NFTX, usuários podem depositar seus NFTs no cofre e criar um token de ERC20 fungível. Este token, por sua vez, pode ser resgatado em troca de NFTs específicos do cofre. De posse dos tokens, o usuário resgatou os seguintes BAYX: #7594, #8214, #9915, #8167 e #4755.
Reivindicação em massa
Com seis BAYC em mãos ao invés de apenas um, o usuário pode reivindicar mais APE durante o airdrop. De acordo com a CertiK, ele conseguiu acumular cerca de 60.564 APE.
Isso foi possível através de uma falha identificada pela empresa no algoritmo de distribuição do airdrop. A função A função GetClaimabletokenAmountAndGammatoclakllaim (), usada para calcular a quantidade de APE cada pessoa pode reivindicar.
Segundo a CertiK, a função calcula quantos APE serão entregues de acordo com a quantidade de BAYC que o reclamante possui. No entanto, ela não leva em conta por quanto tempo o usuário possui esses NFTs.
Ou seja, a função distribui as APE independentemente se a pessoa comprou NFTs há um ano ou há cinco minutos. Sem essa diferenciação, houve uma brecha que muitas pessoas utilizaram para realizar arbitragem e conseguir os airdrops.
Foi justamente o caso do usuário em questão, que obteve uma quantia milionária. Após obter os APE, ele vendeu a maioria em troca de ETH, auferindo um grande lucro.
Por fim, o atacante trocou os BAYC que pegou emprestado de volta pelos tokens ERC-20, pagando o empréstimo e as taxas da rede. Em última análise, a operação resultou num lucro de 293 ETH, que correspondem aos já citados R$ 4,1 milhões.
Leia também: 5 stakes que pagam mais do que a Selic
Leia também: Maior banco da Rússia recebe licença para emitir criptomoedas
Leia também: GameStop vai lançar mercado de NFTs no 2º trimestre
