#BitcoinRalliesOver5Percent

Plus de 500 000 $US en NFT sauvés lors d'une opération white-hat par Yuga

Yuga Labs a réussi à sauver 68 NFT d'une valeur de plus de 500 000 $US grâce à une action d'urgence white-hat, sécurisant ainsi les actifs exposés suite à une exploitation du Flooring Protocol avant que l'attaquant ne puisse tout siphonner.

Les actifs sauvés incluent 29 Bored Apes, deux CryptoPunks, et quatre Mutant Apes ; tous ces NFT sont désormais sous le contrôle de Yuga et seront restitués à leurs propriétaires après la réparation du protocole.

Comment l'exploitation s'est produite

Flooring Protocol est une plateforme de liquidité NFT. Les utilisateurs peuvent verrouiller leurs NFT et recevoir des fpTokens, qui sont négociables et indexés à un pourcentage 1:1 avec le NFT stocké.

L'attaquant a commencé avec une petite quantité de Wrapped Ether (WETH), puis a exploité une faille dans la logique comptable du protocole permettant de créer un solde fpToken presque illimité.

Selon le vice-président blockchain de Yuga, 0xQuit, le token ID créé de manière malveillante a créé ce qu'il appelle un statut de propriété fantôme. La vérification de propriété passe d’un côté, mais la comptabilisation interne diffère de l’autre, explique 0xQuit.

Deux débordements non contrôlés se sont produits ensuite, rendant le solde de l’attaquant extrêmement élevé. Ils ont alors dévalué le prix du fpToken jusqu’à presque zéro et ont drainé la pool affectée.

Pourquoi Yuga est intervenu

Les chercheurs ont ensuite découvert une seconde voie d’attaque qui a exposé une pool de valeur plus importante, incluant des collections NFT de premier plan. Ces NFT ont échappé à la première attaque car leur pool disposait de peu de liquidités.

Le pari portait sur cette collection phare. Le prix de base du Bored Ape est d’environ 8,95 ETH, soit environ 15 121 $US, tandis que celui des CryptoPunks dépasse 32 ETH, soit environ 55 248 $US, selon les données de CoinGecko au 8 juin.

Avec ces prix, 29 Bored Apes valent environ 441 000 $US, ce qui en fait le plus grand lot d’actifs sauvés.

Ce calcul correspond à plus de 500 000 $US pour un total de 68 NFT mentionnés par 0xQuit. L’exploitation a également eu lieu pendant le week-end, lorsque peu d’équipes surveillaient l’activité on-chain.

Flooring Protocol est en phase de déclin depuis l’année dernière, et sa division NFT est en grande partie non gérée. Son architecte initial n’est resté que comme fournisseur de liquidité, perdant lui aussi ses actifs dans cet incident.

Le CEO Michael Figge a révélé avoir ordonné à la division GrailsOTC de déployer des fonds et des NFT pour la mission de sauvetage. L’équipe a ensuite lancé un contrat exploitant la même faille, mais pour résister, imitant la démarche de récupération white-hat déjà effectuée dans la DeFi.

Yuga, qui a également acquis la collection CryptoPunks, affirme que cette démarche est temporaire. L’architecte, sous le pseudonyme 0xFreeLunch, assume la responsabilité et blâme le code, optimisé pour le gaz, rendant la détection de la faille difficile pour les auditeurs.

Ce qui se passe ensuite

L’architecte du protocole suspecte également que l’attaquant a utilisé des outils d’IA avancés, étant donné la complexité de l’attaque. Pendant ce temps, Quit demande aux détenteurs de ne pas approcher cette plateforme.

“Il est très important de NE PAS déposer d’autres NFT sur Flooring Protocol, car cela pourrait rendre le système vulnérable,” a déclaré Quit.

L’attaquant détient encore plusieurs NFT volés, ce qui signifie que cette affaire n’est pas terminée. Comme d’autres projets DeFi après une exploitation, Flooring pourrait lancer un nouveau contrat et devra décider d’indemniser les détenteurs affectés.