Yuga Labs procède au sauvetage d'urgence de 68 NFT suite à une faille de sécurité du Flooring Protocol

TLDR

• Une mission de sauvetage whitehat menée par Yuga Labs le 8 juin a permis de sécuriser des actifs vulnérables à la suite d'une faille de sécurité dans Flooring Protocol
• L'opération a permis de récupérer 68 NFT premium d'une valeur supérieure à 500 000 $, dont des Bored Apes, CryptoPunks, Azuki, Doodles et Moonbirds
• L'exploit a tiré parti d'une vulnérabilité permettant aux attaquants de générer des tokens excessifs et d'extraire des NFT des pools de liquidité
• Flooring Protocol a conseillé aux utilisateurs de suspendre tous les nouveaux dépôts jusqu'à ce que la faille de sécurité soit entièrement corrigée
• Les développeurs collaborent avec Yuga Labs pour restituer les NFT récupérés à leurs propriétaires légitimes après la mise en œuvre des correctifs

Le 8 juin, Yuga Labs a exécuté une opération de récupération d'urgence pour sécuriser 68 NFT après avoir identifié une vulnérabilité de sécurité critique dans Flooring Protocol, une plateforme décentralisée permettant aux utilisateurs de déposer des NFT en échange de tokens liquides.

Michael Figge, PDG de Yuga Labs, a confirmé que la mission de sauvetage s'est conclue avec succès, tous les actifs récupérés étant désormais sous la protection de la société.

Le portefeuille récupéré comprenait 29 Bored Apes, 4 Mutant Apes, 1 BAKC, 2 CryptoPunks, 1 Azuki, 2 Elementals, 26 Captains, 1 Moonbird et 2 Doodles.

Comprendre la vulnérabilité de sécurité

La faille de sécurité permettait à des acteurs malveillants de convertir de minimes dépôts de WETH en soldes de fpTokens quasi illimités — les tokens de représentation fongibles du protocole.

Selon le spécialiste blockchain de Yuga Labs, 0xQuit, l'exploit provenait de structures de propriété compressées défectueuses combinées à des problèmes de logique d'indexation. Les attaquants pouvaient créer des IDs de tokens malveillants satisfaisant la vérification de propriété tout en produisant des résultats comptables contradictoires.

0xQuit a décrit cela comme une « propriété fantôme ». Une modification de solde non validée a déclenché une condition de dépassement par défaut, gonflant artificiellement les soldes de tokens des attaquants bien au-delà des montants légitimes.

Armés de ces soldes frauduleux, les acteurs malveillants ont manipulé les prix des tokens vers zéro, vidé la liquidité des pools et retiré les NFT sous-jacents.

Dans les coulisses de la mission de récupération

La division trading de Yuga Labs, GrailsOTC, a fourni le capital et l'inventaire de NFT nécessaires pour extraire les actifs à risque des pools compromis avant les attaquants potentiels.

L'analyste en sécurité Coffee a apporté une assistance cruciale lors de la réponse d'urgence. Plusieurs collections avaient déjà subi une exploitation partielle avant que l'équipe ne comprenne pleinement l'étendue de la vulnérabilité.

Selon l'évaluation de 0xQuit, la valeur totale des actifs récupérés dépassait 500 000 $.

Yuga Labs a confirmé qu'elle conserverait la garde des NFT sauvés et collaborerait avec les développeurs de Flooring Protocol pour faciliter leur restitution après la correction réussie de la vulnérabilité.

Préoccupations de sécurité en cours

Le développeur principal de Flooring Protocol, identifié sous le nom de 0xFreeLunch, a reconnu que l'exploit avait impacté les plateformes Flooring Protocol V2 et BitmapPunks.

Les deux projets utilisaient des smart contracts maintenant un ancrage 1:1 entre les tokens fongibles et les NFT verrouillés. La vulnérabilité a permis le minting et le rachat non autorisés de tokens malgré la réalisation de plusieurs audits de sécurité indépendants.

0xFreeLunch a révélé que le vecteur d'attaque s'est avéré plus étendu que ce que les premiers exploiteurs avaient apparemment reconnu. La même vulnérabilité a compromis les pools de liquidité contrôlés par l'équipe de développement BitmapPunks.

0xQuit a émis de sévères avertissements déconseillant aux utilisateurs de déposer des NFT supplémentaires dans Flooring Protocol. Les nouveaux dépôts restent vulnérables à l'exploitation tant que la faille de sécurité n'est pas corrigée.

L'architecte du protocole a accepté l'entière responsabilité de l'architecture du contrat, notant que les techniques d'optimisation du gas impliquant des opérations au niveau des bits ont obscurci la vulnérabilité lors des précédents processus d'audit.

Cet incident marque la deuxième compromission majeure de sécurité pour la plateforme. Une faille antérieure avait entraîné des pertes de NFT d'environ 1,5 million $.

L'équipe de développement suit activement les actifs volés et maintient la communication avec des entreprises de sécurité et des exchanges de cryptomonnaies.

The post Yuga Labs Executes Emergency Rescue of 68 NFTs Following Flooring Protocol Security Breach appeared first on Blockonomi.