CryptoTimes

NFTs: Usuário ‘empresta’ 5 Bored Apes para resgatar mais de US$ 1 milhão em ApeCoin

18 mar 2022, 16:47 - atualizado em 18 mar 2022, 16:58
Bored Ape Yacht Club leilão
Usuário usou 5 NFTs de Bored Ape Yacht Club para resgatar tokens ApeCoin (Imagem: Bored Ape Yacht Club/Divulgação)

Ontem (17), o criador da coleção Bored Ape Yacht Club (BAYC), Yuga Labs, fez um “airdrop” (“distribuição”, em tradução livre) de tokens ApeCoin (APE) para qualquer pessoa que tivesse um de seus tokens não fungíveis (NFTs).

Yuga Labs alocou 150 milhões de tokens — 15% do fornecimento total de APE — para detentores de NFTs das coleções BAYC e Mutant Ape Yacht Club (MAYC). A quantia de tokens somou mais de US$ 800 milhões. Cada detentor de BAYC recebeu 10.094 tokens.

Porém, um usuário encontrou um jeito de participar da distribuição, usando NFTs que não lhe pertenciam inicialmente. O usuário tirou vantagem de como o airdrop foi feito e, aparentemente, a ação foi eficaz, pois rendeu ao usuário US$ 1,1 milhão em ApeCoins.

ApeCoin, ligada ao ecossistema de Bored Ape,
é lançada com ‘airdrop’ para comunidade

O truque foi que a distribuição de ApeCoin não foi feita com base em um “snapshot” de quem deteve qual Bored Ape em determinado momento. Ao invés disso, os tokens eram resgatáveis por qualquer pessoa que tivesse um Bored Ape no momento do airdrop.

Um snapshot acontece quando é feito um registro do blockchain, com a lista usada para calcular quantos tokens devem ser enviados a cada endereço no airdrop.

Portanto, se você desse seu Bored Ape a alguém — e você ainda não tivesse resgatado seus tokens — a pessoa que recebeu seu NFT poderia fazer o resgate dos seus tokens.

Isso significa que a pessoa somente precisava ter alguns Bored Apes que não haviam resgatado os tokens — e só seria necessário ter a posse desses NFTs por um breve período antes de fazer o resgate.

CONTINUA DEPOIS DA PUBLICIDADE

O que aconteceu com os NFTs?

Para fazer o resgate de tokens mesmo sem ser dono efetivo dos NFTs de Bored Apes, o usuário encontrou um “cofre” com cinco itens da coleção, os quais ainda não tinham sido usados no resgate de ApeCoin.

Um “cofre” é um modo de tokenizar um NFT ou um conjunto deles. Isso é feito ao pegar um grupo de NFTs, colocá-los no cofre e, em seguida, criar um token.

Esse token pode ser colocado em stake para receber recompensas ou pode ser vendido. Qualquer pessoa que tenha uma quantidade suficiente de tokens pode resgatá-los pelos NFTs subjacentes.

O cofre deste caso foi criado em um protocolo chamado NFTX. O cofre continha cinco Bored Apes: #7594, #8214, #9915, #8167 e #4755, avaliados em 500 ethers (ETH), cerca de US$ 1,4 milhão na cotação atual.

Visto que os NFTs foram deixados bloqueados no cofre e não estavam sob o controle de ninguém, nenhum usuário os havia usado para resgatar tokens ApeCoin.

O usuário que fez o resgate dos tokens queria desbloquear os NFTs para ter acesso a APE, mas sem adquiri-los, o que teria saído muito caro.

Portanto, para isso, o usuário fez um empréstimo instantâneo (“flash loan”), uma ferramenta comum no mundo das finanças descentralizadas (DeFi), para dar continuidade ao plano.

“Flash loans” são um modo de tomar empréstimos de grandes quantidades de cripto a baixo custo, pois a quantidade de criptomoedas tomada é devolvida na mesma transação, no mesmo bloco. Isso significa que os fundos emprestados não sofrem risco de inadimplência.

Neste caso, o usuário comprou um Bored Ape na OpenSea, plataforma em que a coleção é comercializada, por menos de US$ 300 mil, e usou o NFT como garantia do empréstimo instantâneo.

Esse empréstimo, então, foi usado para comprar uma grande parcela do token do cofre, o que possibilitou o usuário resgatar os cinco NFTs. Estes foram usados para fazer o resgate do airdrop antes de serem devolvidos.

Em seguida, ainda na mesma transação, o usuário tomou os tokens do airdrop, devolveu os cinco NFTs e o valor do empréstimo.

Neste processo, o usuário conseguiu obter 60.564 ApeCoins. Ele, então, vendeu essa quantia na corretora descentralizada Uniswap por 399 ETH (US$ 1,1 milhão). Em seguida, vendeu o NFT de Bored Ape que havia sido usado como garantia no cofre NFTX.

Ataque ou arbitragem?

Apesar de comentários nas redes sociais terem classificado o ocorrido como uma negociação arbitrária inovadora, a empresa de segurança BlockSecTeam discorda. A companhia classificou o acontecimento como um ataque que explorou um problema presente no mecanismo do airdrop.

Após analisar o fato, BlockSecTeam disse que o usuário provavelmente tirou vantagem de uma “vulnerabilidade” da distribuição de tokens.

Um modo que poderia ter evitado isso seria se o airdrop considerasse o tempo que alguém é dono de um NFT, antes de a recompensa poder ser resgatada.

Visto que Yuga Labs não fez um “snapshot” — o que é comum para a maioria das distribuições de tokens — isso indica que qualquer pessoa poderia comprar um NFT da coleção em tempo real para resgatar os tokens. Essa é, provavelmente, a principal razão por que as vendas de BAYC dispararam após o comunicado do airdrop.