Un esfuerzo de rescate llevado a mango por la empresa de tecnología y Web3 Yuga Labs permitió la recuperación de 68 tokens no fungibles (NFT) por valencia de más de 500.000 dólares luego de que una vulnerabilidad en la plataforma DeFi Flooring Protocol expusiera activos pertenecientes a algunas de las colecciones más conocidas del ecosistema Ethereum.
Entre los NFT recuperados se encuentran 29 Bored Apes, 2 CryptoPunks y 4 Mutant Apes. Por ahora, Estos activos permanecerán bajo la custodia temporal de Yuga. Mientras tanto, se desarrollarán soluciones para solucionar los problemas detectados en los protocolos afectados.
El incidente ocurrió en Flooring Protocol, una plataforma diseñada para aplaudir solvencia al mercado NFT.. Esa operación permite a los usuarios encerrar NFT y cobrar fpTokens respaldados por esos activos. Estos tokens se pueden cambiar más fácilmente, lo que ayuda a dividir el valencia de los NFT y crear solvencia en un mercado que suele ser menos dinámico correcto a la equivocación de compradores y los altos precios de algunas colecciones. Si adecuadamente este maniquí apunta a solucionar las operaciones en mercados tradicionalmente ilíquidos, asimismo puede idear riesgos si equivocación la infraestructura tecnológica.
Según la información difundida sobre este incidente, El atacante utilizó una pequeña cantidad de Wrapped Ether (WETH) para iniciar el exploit. Una equivocación en la contabilidad interna del protocolo le permitió ocasionar una cantidad prácticamente ilimitada de fpTokens, lo que provocó que su valencia cayera en picado y vaciara varias reservas de solvencia.
¿Cómo se produjo el ataque?
Un vicepresidente de Yuga Labs, conocido con el seudónimo 0xQuit, explicó que la vulnerabilidad fue causada por un identificador de token manipulado que provocó un tipo de “propiedad trasgo”. En la destreza, la demostración externa de la propiedad siguió funcionando, pero la contabilidad interna registró información diferente. Esta discrepancia resultó crítica para los sistemas cuya seguridad depende de una correspondencia precisa entre los NFT depositados y los tokens emitidos.
El fracaso se vio agravado por dos tipos de errores: desbordamientouna situación en la que una operación matemática excede los límites mínimos permitidos por el sistema y produce resultados inesperados, provocando eventualmente el colapso del sistema. Como resultado, los atacantes pudieron inflar artificialmente los saldos y manipular la heredad interna del protocolo para retirar fondos del fondo de solvencia.
Como resultado del disección del incidente, Los investigadores han identificado un segundo método de ataque. Esto pone en peligro NFT de mucho maduro valencia, incluidos activos de colecciones de parada nivel. Estos no se vieron afectados en la primera escalón. explotar Como estaban en una reserva menos activa, al principio pasaron desapercibidos para los atacantes.
La gravitación del descubrimiento llevó a Yuga Labs a intervenir de inmediato. Según el director ejecutante Michael Figge, se han movilizado posibles a través de la plataforma GrailsOTC para financiar operaciones defensivas. El equipo implementó un convenio que explota la misma vulnerabilidad utilizada por los atacantes.pero el propósito es juntar activos ayer de que sean robados. Este tipo de intervención se conoce en la industria como operación de “sombrero blanco” o “sombrero blanco”. sombrero blanco.
La situación asimismo era conveniente a la explotación. Como señaló la compañía, el ataque ocurrió durante el fin de semana, cuando la actividad en la dependencia suele estar menos monitoreada. Adicionalmente, Flooring Protocol había estado en una escalón de desactivación progresivo desde el año antedicho, con su división centrada en NFT operando con controles limitados, situación que aumentó su exposición a ataques sofisticados.
La vulnerabilidad pasó desapercibida
Yuga Labs garantiza: NFT será devuelto al propietario Si existen soluciones tecnológicas seguras. La empresa enfatizó este punto para distinguir esta operación de la malversación independiente de fondos, que es un tema particularmente sensible interiormente del ecosistema.
El diseñador flamante de Flooring Protocol, conocido con el seudónimo 0xFreeLunch, fue el responsable de este incidente. Como explicó, La vulnerabilidad no se habría notado durante la auditoría. Esto se debe a que el código está en gran medida optimizado para someter los costos de gasolina, lo cual es una destreza global en Ethereum y puede dificultar las revisiones de seguridad.
El desarrollador asimismo reveló que es un proveedor de solvencia interiormente de la plataforma y perdió sus propios activos durante el ataque. Adicionalmente, planteó la posibilidad de que Los responsables podrían acaecer utilizado sofisticadas herramientas de inteligencia químico Actualmente no hay evidencia que respalde esta hipótesis, pero la vulnerabilidad no puede identificarse ni explotarse.
La identidad del atacante sigue siendo desconocida Y algunos de los NFT robados siguen bajo el control de los afectados. Esto significa que, aunque la intervención de Yuga logró contener una parte importante de las pérdidas, el caso sigue sin resolverse.
Este incidente pone de relieve una vez más los riesgos que enfrentan los protocolos de solvencia de NFT y muestra que incluso las colecciones más prestigiosas pueden encontrarse afectadas por errores ocultos en la infraestructura que las respalda.
(Traducción de etiquetas)Hacker
