Nakumpleto ng Yuga Labs ang Whitehat Rescue Operation
Nakumpleto ng Yuga Labs ang isang whitehat rescue operation matapos ang isang exploit sa Flooring Protocol na naglagay sa panganib ng ilang mataas na halaga ng NFTs. Ayon kay Yuga Labs CEO Michael Figge, ang mga asset ay nasa kustodiya na ng kumpanya.
Mga Nailigtas na NFTs
Kasama sa mga nailigtas na NFTs ang:
- 29 Bored Apes
- 4 Mutant Apes
- 1 BAKC
- 2 CryptoPunks
- 1 Azuki
- 2 Elementals
- 26 Captains
- 1 Moonbird
- 2 Doodles
“Kakatapos lang namin ng isang whitehat operation sa isang exploit na natuklasan sa Flooring Protocol. Ngayon ay ligtas na sa kustodiya ng Yuga Labs ang 29 Bored Apes, 4 Mutant Apes, 1 BAKC, 2 CryptoPunks, 1 Azuki, 2 Elementals, 26 Captains, 1 Moonbird, at 2 Doodles,” sabi ni Figge.
Pagkilos ng Yuga Labs
Sinabi ni Figge na kumilos ang Yuga Labs matapos tamaan ng exploit ang Flooring Protocol noong Hunyo 8. Ang ilang koleksyon ay na-raid na bago natagpuan ng koponan ang isang kaugnay na panganib na landas. Kasama sa rescue operation ang blockchain lead ng Yuga Labs, na kilala bilang 0xQuit, at ang security researcher na si Coffee.
Sinabi ni Figge na ang GrailsOTC ang nagbigay ng pondo at NFTs na kinakailangan upang ilipat ang mga exposed assets mula sa mga vulnerable pools. Sinabi ng kumpanya na makikipagtulungan ito sa mga developer ng Flooring Protocol upang ibalik ang mga asset kapag handa na ang isang solusyon.
Detalye ng Exploit
Ayon kay 0xQuit, ang exploit ay nagbigay-daan sa isang maliit na halaga ng WETH upang lumikha ng halos walang katapusang fpToken balance. Ang mga umaatake ay maaaring mag-drain ng Flooring pools at i-redeem ang mga underlying NFTs.
“Isang Flooring exploit ngayon ang nagbago ng isang dust amount ng WETH sa isang halos walang katapusang fpToken balance, na nagpapahintulot sa umaatake na mag-drain ng Flooring pools.”
Ang isyu ay nagmula sa packed ownership at indexing logic. Ayon kay 0xQuit, ang isang malicious token ID ay maaaring magpasa ng ownership checks habang ang susunod na accounting ay nagpakita ng ibang resulta. Iyon ay lumikha ng tinatawag niyang “ghost ownership”.
Mga Epekto ng Exploit
Sinabi ng 0xFreeLunch ng Flooring Protocol na ang exploit ay nakaapekto sa FloorProtocol V2 at BitmapPunks. Parehong proyekto ang gumamit ng mga kontrata kung saan ang mga fungible tokens ay naka-pegged 1:1 sa mga NFTs na naka-lock sa kontrata.
“Sa kabila ng maraming rounds ng security reviews,” sabi niya, “isang umaatake ang nakahanap ng isang kahinaan na nagbigay-daan sa labis na fungible tokens na ma-mint at ma-redeem para sa NFTs.”
Sinabi niya na ang parehong vector ay nakaapekto rin sa BitmapPunks at nag-drain ng liquidity pools na ibinigay ng koponan. Idinagdag niya na ang attack surface ay mas malaki kaysa sa unang umaatake na tila alam.
Babala at Kasalukuyang Sitwasyon
Nagbabala si 0xQuit sa mga gumagamit na huwag nang magdeposito ng anumang higit pang NFTs sa Flooring Protocol, na sinasabi na ang mga bagong na-deposit na asset ay maaaring maging vulnerable. Sinabi ni 0xQuit na ang mga nailigtas na NFTs ay nagkakahalaga ng higit sa $500,000.
Sinabi rin niya na ang exploit ay hindi pa ganap na nalutas dahil ang mga umaatake ay may hawak pang ilang NFTs. Ang insidente ay nagdaragdag sa kasaysayan ng Flooring Protocol ng mga alalahanin sa seguridad. Ang mga naunang kaugnay na ulat ay nagtala na ang protocol ay na-hit na sa isang NFT exploit na nagkakahalaga ng humigit-kumulang $1.5 milyon.
Responsibilidad at Pagsusuri
Sinabi ng arkitekto ng Flooring Protocol na siya ay tumatanggap ng responsibilidad para sa disenyo ng kontrata. Sinabi niya na ang kahinaan ay nagmula sa gas-saving bit-level code na nakatakas sa mga naunang security reviews. Sinabi rin niya na ang koponan ay nag-tratrace ng mga extracted assets at nakikipagtulungan sa mga security teams at exchanges.
Mga Target ng Pagnanakaw
Hiwalay, ayon sa ulat ng crypto.news, ang mga BAYC NFTs ay nananatiling target para sa pagnanakaw. Noong Mayo 2024, isang NFT trader ang nawalan ng tatlong Bored Apes na nagkakahalaga ng higit sa $145,000 sa isang phishing attack na konektado sa Pink Drainer.
