Как сообщает издание The Block, схема была достаточно проста. Разработчики BAYC не проверяли срок владения NFT при раздаче токенов. Поэтому пользователь мог купить NFT, поучаствовать в раздаче ApeCoin и тут же продать свой токен. Так и случилось – неизвестный пользователь купил пять токенов BAYC, получил ApeCoin на сумму $1.1 млн и сразу же продал NFT.
Каждому держателю NFT Bored Ape Yacht Club и Mutant Ape Yacht Club было роздано по 10 094 ApeCoin. Их стоимость составляет от $80 000 до $200 000. Раздача токенов осуществлялась не на основе снэпшота, а на кошельки владельцев NFT. Поэтому один из пользователей смог взять мгновенный займ, купить токены BAYC #7594, #8214, #9915, #8167 и #4755 стоимостью около 500 ETH ($1.4 млн), получить ApeCoin на сумму $1.1 млн и продать NFT.
Все это было сделано в рамках одной единственной транзакции «мгновенного займа». При этом для обеспечения мгновенного займа пользователь купил NFT из коллекции BAYC за $300 000. После этого он взял мгновенный займ, купил NFT и получил 60 564 ApeCoin. Данные токены он продал на бирже Uniswap за 399 ETH, что по курсу на момент продажи составило $1.1 млн.
Ранее атаку с использованием мгновенных займов применили хакеры, взломавшие проект DeFi под названием Deus Finance. Им удалось украсть активов на $3 млн.