Foto: ApeCoin
O lançamento da ApeCoin (APE), criptomoeda exclusiva para os detentores dos Bored Apes, foi um sucesso imediato. Todavia, a repercussão da APE também atraiu a atenção de inúmeros golpes. Em um deles, um usuário conseguiu lucrar quase R$ 5 milhões por meio de uma operação fraudulenta.
De acordo com a empresa de segurança CertiK, o usuário desconhecido usou as regras do sistema e recebeu mais de 60 mil APE. Em seguida ele realizou uma série de operações complexas, que podem ser resumidas dessa forma:
No final da operação, o usuário teria lucrado US$ 820 mil em Ether (ETH), que correspondem a R$ 4,18 milhões em valores atuais. A CertiK criou um fio no Twitter onde explica todos os detalhes a respeito do ataque.
Conforme noticiou o CriptoFácil, a APE teve um forte salto no seu preço logo após o lançamento. A valorização atingiu 47%, levando a criptomoeda ao Top 100 do CoinMarketCap.
Ao mesmo tempo, a demanda pelos BAYC também aumentou, visto que apenas os donos dos NFTs teriam direito ao airdrop da APE. Dessa forma, as pessoas correram para comprar os macacos, o que elevou o preço da coleção como um todo.
Nesse sentido, o usuário desconhecido aproveitou justamente este aumento da demanda e comprou um exemplar, o BAYC #1060. A compra lhe deu o direito de participar do airdrop e, portanto, ganhar uma quantidade de APE.
Com um exemplar em mãos, o usuário utilizou o NFT como garantia para pegar mais cinco BAYC através da plataforma Vault NFTX. Esta plataforma permite a criação de liquidez para NFTs que possuem dificuldade de serem negociados.
No Vault NFTX, usuários podem depositar seus NFTs no cofre e criar um token de ERC20 fungível. Este token, por sua vez, pode ser resgatado em troca de NFTs específicos do cofre. De posse dos tokens, o usuário resgatou os seguintes BAYX: #7594, #8214, #9915, #8167 e #4755.
Com seis BAYC em mãos ao invés de apenas um, o usuário pode reivindicar mais APE durante o airdrop. De acordo com a CertiK, ele conseguiu acumular cerca de 60.564 APE.
Isso foi possível através de uma falha identificada pela empresa no algoritmo de distribuição do airdrop. A função A função GetClaimabletokenAmountAndGammatoclakllaim (), usada para calcular a quantidade de APE cada pessoa pode reivindicar.
Segundo a CertiK, a função calcula quantos APE serão entregues de acordo com a quantidade de BAYC que o reclamante possui. No entanto, ela não leva em conta por quanto tempo o usuário possui esses NFTs.
Ou seja, a função distribui as APE independentemente se a pessoa comprou NFTs há um ano ou há cinco minutos. Sem essa diferenciação, houve uma brecha que muitas pessoas utilizaram para realizar arbitragem e conseguir os airdrops.
Foi justamente o caso do usuário em questão, que obteve uma quantia milionária. Após obter os APE, ele vendeu a maioria em troca de ETH, auferindo um grande lucro.
Por fim, o atacante trocou os BAYC que pegou emprestado de volta pelos tokens ERC-20, pagando o empréstimo e as taxas da rede. Em última análise, a operação resultou num lucro de 293 ETH, que correspondem aos já citados R$ 4,1 milhões.
Leia também: 5 stakes que pagam mais do que a Selic
Leia também: Maior banco da Rússia recebe licença para emitir criptomoedas
Leia também: GameStop vai lançar mercado de NFTs no 2º trimestre