El día del lanzamiento del airdrop de Bored Ape un participante de la red se llevó 1,1 millones de dólares sin poseer los NFT de los monos. Los que se puede catalogar como un ataque o un movimiento audaz de quien hizo el reclamo de las monedas APE. A quienes tuviesen los tokens no fungibles de los “monos aburridos”, les permitían hacer un reclamo de las fichas. Sin embargo, esa era la única condición de la plataforma. En otros casos se toma en cuenta fecha de cuando se tiene o se hace una recopilación de quienes poseen las monedas y podrán reclamar. ApeCoin no lo hizo.
Un usuario con una gran habilidad pudo encontrar cinco NFT de los Bored Ape para reclamar monedas APE en el airdrop. No los tenía en su poder, los encontró en una bóveda, de donde los tomó prestados y reclamó las monedas, para luego devolverlos. Técnicamente el atacante o hábil participante, no puede ser acusado de haber robado. Encontró un mecanismo y obtuvo las monedas, según las condiciones, “tener NFT Bored Ape para el momento del reclamo”.
Reclamó el airdrop sin tener los NFT Bored Ape
La maniobra consistió en que el usuario encontró cinco NFT de Bored Ape que no estaban en poder de una billetera personal. Estaban en una bóveda donde se depositan para emitir otros tokens u otros NFT. Esa ficha que se crea a partir del activo en esa bóveda, representa una parte del valor que tiene. El mismo se puede vender o usar para reclamar ficha en “airdrops”.
En un protocolo de nombre NFTX estaban los cinco NFT de Bored Ape, que usó quien reclamó monedas en el airdrop. El valor de los tokens era aproximadamente de 500 ETH. Al estar en la bóveda nadie los usaba para realizar el reclamo. Para no comprar las monedas en la bóveda, el hábil usuario usó un préstamo rápido. Esta herramienta se está usando mucho en DeFi con este fin. Un usuario pide grandes cantidades de monedas a bajo costo, el cual se reembolsa en la misma transacción y bloque.
Ganancias fáciles
Con ese préstamo compraron los tokens que estaban en la bóveda que contiene los cinco NFT Bored Ape. Previamente, habían comprado un NFT Bored Ape en OpenSea, que se usó como garantía para obtener el préstamo rápido. El monto fue de casi 300 mil dólares. Con los tokens, pudieron canjear los cinco NFT Bored Ape que se emplearon para reclamar las monedas APE del airdrop.
Esa transacción les permitió reclamar 60.564 APE y los vendieron en Uniswap por 1,1 millones de dólares. Pagaron el préstamo, devolvieron los tokens y vendieron el NFT original Bored Ape que habían comprado al principio.
La firma de seguridad BlockSecTeam que hizo el análisis, señaló que eso pudo hacerse porque el airdrop tenía la vulnerabilidad señalada al principio. ApeCoin no tomó en cuenta el tiempo de tenencia de los NFT, para entregar las recompensas.
Estudiante de Sistemas. Me desempeño con conectividad y redes, he sido analista de sistemas y Monitor Docente en el Instituto Conosur LTDA, Chile. Entusiasta de las criptomonedas, NFT y plataformas DeFi.