Un esfuerzo de rescate llevado a mango por la empresa de tecnologΓa y Web3 Yuga Labs permitiΓ³ la recuperaciΓ³n de 68 tokens no fungibles (NFT) por valencia de mΓ‘s de 500.000 dΓ³lares luego de que una vulnerabilidad en la plataforma DeFi Flooring Protocol expusiera activos pertenecientes a algunas de las colecciones mΓ‘s conocidas del ecosistema Ethereum.
Entre los NFT recuperados se encuentran 29 Bored Apes, 2 CryptoPunks y 4 Mutant Apes. Por ahora, Estos activos permanecerΓ‘n bajo la custodia temporal de Yuga. Mientras tanto, se desarrollarΓ‘n soluciones para solucionar los problemas detectados en los protocolos afectados.
El incidente ocurriΓ³ en Flooring Protocol, una plataforma diseΓ±ada para aplaudir solvencia al mercado NFT.. Esa operaciΓ³n permite a los usuarios encerrar NFT y cobrar fpTokens respaldados por esos activos. Estos tokens se pueden cambiar mΓ‘s fΓ‘cilmente, lo que ayuda a dividir el valencia de los NFT y crear solvencia en un mercado que suele ser menos dinΓ‘mico correcto a la equivocaciΓ³n de compradores y los altos precios de algunas colecciones. Si adecuadamente este maniquΓ apunta a solucionar las operaciones en mercados tradicionalmente ilΓquidos, asimismo puede idear riesgos si equivocaciΓ³n la infraestructura tecnolΓ³gica.
SegΓΊn la informaciΓ³n difundida sobre este incidente, El atacante utilizΓ³ una pequeΓ±a cantidad de Wrapped Ether (WETH) para iniciar el exploit. Una equivocaciΓ³n en la contabilidad interna del protocolo le permitiΓ³ ocasionar una cantidad prΓ‘cticamente ilimitada de fpTokens, lo que provocΓ³ que su valencia cayera en picado y vaciara varias reservas de solvencia.
ΒΏCΓ³mo se produjo el ataque?
Un vicepresidente de Yuga Labs, conocido con el seudΓ³nimo 0xQuit, explicΓ³ que la vulnerabilidad fue causada por un identificador de token manipulado que provocΓ³ un tipo de “propiedad trasgo”. En la destreza, la demostraciΓ³n externa de la propiedad siguiΓ³ funcionando, pero la contabilidad interna registrΓ³ informaciΓ³n diferente. Esta discrepancia resultΓ³ crΓtica para los sistemas cuya seguridad depende de una correspondencia precisa entre los NFT depositados y los tokens emitidos.
El fracaso se vio agravado por dos tipos de errores: desbordamientouna situaciΓ³n en la que una operaciΓ³n matemΓ‘tica excede los lΓmites mΓnimos permitidos por el sistema y produce resultados inesperados, provocando eventualmente el colapso del sistema. Como resultado, los atacantes pudieron inflar artificialmente los saldos y manipular la heredad interna del protocolo para retirar fondos del fondo de solvencia.
Como resultado del disecciΓ³n del incidente, Los investigadores han identificado un segundo mΓ©todo de ataque. Esto pone en peligro NFT de mucho maduro valencia, incluidos activos de colecciones de parada nivel. Estos no se vieron afectados en la primera escalΓ³n. explotar Como estaban en una reserva menos activa, al principio pasaron desapercibidos para los atacantes.
La gravitaciΓ³n del descubrimiento llevΓ³ a Yuga Labs a intervenir de inmediato. SegΓΊn el director ejecutante Michael Figge, se han movilizado posibles a travΓ©s de la plataforma GrailsOTC para financiar operaciones defensivas. El equipo implementΓ³ un convenio que explota la misma vulnerabilidad utilizada por los atacantes.pero el propΓ³sito es juntar activos ayer de que sean robados. Este tipo de intervenciΓ³n se conoce en la industria como operaciΓ³n de βsombrero blancoβ o βsombrero blancoβ. sombrero blanco.
La situaciΓ³n asimismo era conveniente a la explotaciΓ³n. Como seΓ±alΓ³ la compaΓ±Γa, el ataque ocurriΓ³ durante el fin de semana, cuando la actividad en la dependencia suele estar menos monitoreada. Adicionalmente, Flooring Protocol habΓa estado en una escalΓ³n de desactivaciΓ³n progresivo desde el aΓ±o antedicho, con su divisiΓ³n centrada en NFT operando con controles limitados, situaciΓ³n que aumentΓ³ su exposiciΓ³n a ataques sofisticados.
La vulnerabilidad pasΓ³ desapercibida
Yuga Labs garantiza: NFT serΓ‘ devuelto al propietario Si existen soluciones tecnolΓ³gicas seguras. La empresa enfatizΓ³ este punto para distinguir esta operaciΓ³n de la malversaciΓ³n independiente de fondos, que es un tema particularmente sensible interiormente del ecosistema.
El diseΓ±ador flamante de Flooring Protocol, conocido con el seudΓ³nimo 0xFreeLunch, fue el responsable de este incidente. Como explicΓ³, La vulnerabilidad no se habrΓa notado durante la auditorΓa. Esto se debe a que el cΓ³digo estΓ‘ en gran medida optimizado para someter los costos de gasolina, lo cual es una destreza global en Ethereum y puede dificultar las revisiones de seguridad.
El desarrollador asimismo revelΓ³ que es un proveedor de solvencia interiormente de la plataforma y perdiΓ³ sus propios activos durante el ataque. Adicionalmente, planteΓ³ la posibilidad de que Los responsables podrΓan acaecer utilizado sofisticadas herramientas de inteligencia quΓmico Actualmente no hay evidencia que respalde esta hipΓ³tesis, pero la vulnerabilidad no puede identificarse ni explotarse.
La identidad del atacante sigue siendo desconocida Y algunos de los NFT robados siguen bajo el control de los afectados. Esto significa que, aunque la intervenciΓ³n de Yuga logrΓ³ contener una parte importante de las pΓ©rdidas, el caso sigue sin resolverse.
Este incidente pone de relieve una vez mΓ‘s los riesgos que enfrentan los protocolos de solvencia de NFT y muestra que incluso las colecciones mΓ‘s prestigiosas pueden encontrarse afectadas por errores ocultos en la infraestructura que las respalda.
(TraducciΓ³n de etiquetas)Hacker
