Yuga Labs Selesaikan Operasi Penyelamatan Whitehat
Yuga Labs telah berhasil menyelesaikan operasi penyelamatan whitehat setelah terjadinya eksploitasi di Flooring Protocol yang mengancam beberapa NFT bernilai tinggi. CEO Yuga Labs, Michael Figge, mengungkapkan bahwa aset-aset tersebut kini berada di bawah pengawasan perusahaan.
Aset yang Diselamatkan
NFT yang berhasil diselamatkan mencakup:
- 29 Bored Apes
- 4 Mutant Apes
- 1 BAKC
- 2 CryptoPunks
- 1 Azuki
- 2 Elementals
- 26 Captains
- 1 Moonbird
- 2 Doodles
“Kami baru saja menyelesaikan operasi whitehat terkait eksploitasi yang ditemukan di Flooring Protocol. Sekarang, aset-aset tersebut aman di bawah pengawasan Yuga Labs,” kata Figge.
Detail Eksploitasi
Yuga Labs bertindak setelah eksploitasi menyerang Flooring Protocol pada 8 Juni. Beberapa koleksi sudah dirampok sebelum tim menemukan jalur risiko yang terkait. Penyelamatan ini melibatkan pemimpin blockchain Yuga Labs, yang dikenal sebagai 0xQuit, dan peneliti keamanan bernama Coffee.
Figge juga menyatakan bahwa GrailsOTC menyediakan dana dan NFT yang diperlukan untuk memindahkan aset yang terpapar dari kolam yang rentan. 0xQuit menjelaskan bahwa eksploitasi ini memungkinkan sejumlah kecil WETH untuk menciptakan saldo fpToken yang hampir tak terbatas. Penyerang kemudian dapat menguras kolam Flooring dan menukarkan NFT yang mendasarinya.
“Eksploitasi Flooring hari ini mengubah sejumlah kecil WETH menjadi saldo fpToken yang hampir tak terbatas, memungkinkan penyerang untuk menguras kolam Flooring,” ungkapnya.
Penyebab dan Dampak
Menurut 0xQuit, masalah ini berasal dari kepemilikan yang terpaket dan logika pengindeksan. ID token yang berbahaya dapat membuat pemeriksaan kepemilikan berhasil, sementara akuntansi selanjutnya menunjukkan hasil yang berbeda, menciptakan apa yang disebutnya sebagai “kepemilikan hantu”. Setelah itu, pembaruan saldo yang tidak terkontrol menyebabkan underflow dan memberikan penyerang saldo yang jauh lebih besar dari yang dimaksudkan.
Setelah saldo dibungkus, penyerang dapat mendorong harga token mendekati nol dan mengekstrak likuiditas dari kolam. 0xFreeLunch dari Flooring Protocol menyatakan bahwa eksploitasi ini mempengaruhi FloorProtocol V2 dan BitmapPunks. Kedua proyek menggunakan kontrak di mana token yang dapat diperdagangkan dipatok 1:1 ke NFT yang terkunci dalam kontrak.
“Hari ini, eksploitasi terjadi yang mempengaruhi FloorProtocol V2 dan BitmapPunks. Kedua proyek memiliki struktur kontrak inti yang serupa: semua token yang dapat diperdagangkan yang diterbitkan dipatok 1:1 ke NFT yang terkunci dalam kontrak, memungkinkan pengguna untuk mengonversi kembali dan forth dengan bebas,” jelasnya.
Peringatan dan Tindakan Selanjutnya
Meskipun telah melalui beberapa putaran tinjauan keamanan, seorang penyerang berhasil menemukan kerentanan yang memungkinkan pencetakan berlebih token yang dapat diperdagangkan dan penukaran untuk NFT. 0xQuit memperingatkan pengguna untuk tidak menyetor NFT lebih lanjut ke Flooring Protocol, karena aset yang baru disetor dapat menjadi rentan.
Dia juga menyatakan bahwa NFT yang diselamatkan bernilai lebih dari $500,000. Namun, eksploitasi ini belum sepenuhnya teratasi karena penyerang masih memegang beberapa NFT. Insiden ini menambah catatan kekhawatiran keamanan Flooring Protocol, di mana laporan sebelumnya mencatat bahwa protokol tersebut pernah mengalami eksploitasi NFT senilai sekitar $1,5 juta.
Arsitek Flooring Protocol mengakui tanggung jawab atas desain kontrak dan menyatakan bahwa kerentanan berasal dari kode tingkat bit yang menghemat gas dan lolos dari tinjauan keamanan sebelumnya. Tim juga sedang melacak aset yang diekstrak dan bekerja sama dengan tim keamanan serta bursa.
Insiden Terkait NFT
Secara terpisah, seperti yang dilaporkan oleh crypto.news, NFT BAYC tetap menjadi target pencurian. Pada Mei 2024, seorang pedagang NFT kehilangan tiga Bored Apes senilai lebih dari $145,000 dalam serangan phishing yang terkait dengan Pink Drainer.
