Yuga Labs Redder Højværdi-NFT’er
Yuga Labs har gennemført en whitehat-redningsoperation efter en udnyttelse af Flooring Protocol, der satte flere højværdi-NFT’er i fare. Yuga Labs’ CEO, Michael Figge, sagde, at aktiverne nu er i virksomhedens varetægt. De reddede NFTs inkluderer:
- 29 Bored Apes
- 4 Mutant Apes
- 1 BAKC
- 2 CryptoPunks
- 1 Azuki
- 2 Elementals
- 26 Captains
- 1 Moonbird
- 2 Doodles
“Vi har lige afsluttet en whitehat-operation på en udnyttelse, der blev opdaget i Flooring Protocol. Nu er de sikkert i Yuga Labs’ varetægt.” – Michael Figge
Udnyttelsen og Redningsoperationen
Yuga Labs handlede efter, at en udnyttelse ramte Flooring Protocol tidligere den 8. juni. Nogle samlinger var allerede blevet ransaget, før teamet fandt en relateret risikostier. Redningen involverede Yuga Labs’ blockchain-leder, kendt som 0xQuit, og sikkerhedsforsker Coffee. Figge nævnte, at GrailsOTC stillede de nødvendige midler og NFTs til rådighed for at flytte udsatte aktiver væk fra sårbare puljer.
Detaljer om Udnyttelsen
0xQuit sagde, at udnyttelsen tillod en lille mængde WETH at skabe en næsten uendelig fpToken-balance. Angribere kunne derefter tømme Flooring-puljer og indløse de underliggende NFTs. “En Flooring-udnyttelse i dag forvandlede en lille mængde WETH til en næsten uendelig fpToken-balance, hvilket gjorde det muligt for angriberen at tømme Flooring-puljer.”
“Problemet kom fra pakket ejerskab og indekseringslogik, hvilket skabte det, han kaldte ‘spøgelses-ejerskab.'” – 0xQuit
Konsekvenser og Fremtidige Foranstaltninger
Flooring Protocols 0xFreeLunch sagde, at udnyttelsen påvirkede FloorProtocol V2 og BitmapPunks. Begge projekter brugte kontrakter, hvor fungible tokens var knyttet 1:1 til NFTs låst i kontrakten. “På trods af flere runder af sikkerhedsevalueringer, fandt en angriber en sårbarhed, der gjorde det muligt at præge overskydende fungible tokens og indløse dem for NFTs.”
0xQuit advarede brugerne om ikke at indsætte flere NFTs i Flooring Protocol, idet han sagde, at nyindsatte aktiver kunne blive sårbare. Han vurderede, at de reddede NFTs var værd mere end $500.000, men bemærkede, at udnyttelsen ikke var helt løst, da angriberne stadig havde nogle NFTs.
Historik med Sikkerhedsproblemer
Hændelsen tilføjer Flooring Protocols historie med sikkerhedsproblemer. Tidligere relaterede rapporter bemærkede, at protokollen tidligere var blevet ramt i en NFT-udnyttelse til en værdi af omkring $1,5 millioner. Flooring Protocols arkitekt sagde, at han tager ansvar for kontraktdesignet og at sårbarheden kom fra gasbesparende bit-niveau kode, der undslap tidligere sikkerhedsevalueringer.
Han sagde også, at teamet sporer de udtrukne aktiver og arbejder sammen med sikkerhedsteams og børser. Separat, som crypto.news rapporterede, har BAYC NFTs forblevet et mål for tyveri. I maj 2024 mistede en NFT-handler tre Bored Apes til en værdi af over $145.000 i et phishing-angreb relateret til Pink Drainer.
