#BitcoinRalliesOver5Percent

Более чем на 500 000 долларов США NFT успешно спасены в операции белых хакеров Yuga
Yuga Labs успешно спасла 68 NFT стоимостью более 500 000 долларов США в рамках экстренной операции белых хакеров, что позволило ей обезопасить активы, подвергшиеся риску из-за уязвимости Flooring Protocol, до того как злоумышленник смог вывести все.
Успешно спасённые активы включают 29 Bored Apes, два CryptoPunks и четыре Mutant Apes; теперь все эти NFT находятся под контролем Yuga и будут возвращены их владельцам после исправления протокола.
Как произошла уязвимость
Flooring Protocol — это платформа ликвидности NFT. Пользователи могут блокировать свои NFT и получать fpToken, которые торгуются и привязаны 1:1 к сохранённому NFT.
Злоумышленник начал с небольшого количества Wrapped Ether (WETH), затем использовал лазейку в логике учёта протокола, которая позволила ему создавать почти неограниченные балансы fpToken.
По словам вице-президента по блокчейну Yuga, 0xQuit, злоумышленно созданные идентификаторы токенов создавали то, что он назвал статусом «призрачного владения». Проверки владения проходят с одной стороны, но внутренние записи на другой стороне фактически отличаются, объяснил 0xQuit.
Затем произошли два неконтролируемых переполнения, из-за которых баланс злоумышленника стал чрезвычайно большим. После этого он сбросил цену fpToken до почти нуля и вывел из строя пострадавший пул.
Почему Yuga вмешалась
Позже исследователи обнаружили второй путь атаки, который выявил более ценные пулы, включая коллекции NFT класса люкс. Эти NFT пережили первую атаку, потому что их пулы имели чуть меньшую ликвидность.
Ставка делалась на эти флагманские коллекции. Базовая цена Bored Apes составляла около 8,95 ETH или примерно 15 121 доллар США, в то время как CryptoPunks стоили более 32 ETH или примерно 55 248 долларов США, согласно данным CoinGecko на 8 июня.
При таких ценах 29 Bored Apes стоили примерно 441 000 долларов США, что делало их крупнейшим активом среди спасённых.
Это подсчёт совпадает с данными о более чем 500 000 долларов США за все 68 NFT, упомянутых 0xQuit. Уязвимость произошла в выходные, когда за мониторинг активности в блокчейне отвечали лишь немногие команды.
Flooring Protocol находился в режиме закрытия с прошлого года, и его отдел NFT в основном больше не управляется. Исходный архитектор остался только как поставщик ликвидности и также потерял свои активы в этом инциденте.
Генеральный директор Майкл Фигге сообщил, что он дал указание команде GrailsOTC выпустить средства и NFT для спасательной операции. Затем команда запустила контракт, использующий ту же уязвимость, но для защиты, имитируя шаги восстановления белых хакеров, ранее выполненные в DeFi.
Yuga, которая также приобрела коллекцию CryptoPunks, подчеркнула, что этот шаг является временным. Архитектор, под аккаунтом 0xFreeLunch, взял на себя ответственность и обвинил в этом газ-оптимизированный код, из-за которого баг было трудно обнаружить аудиторам.
Что будет дальше
Архитектор протокола также предположил, что злоумышленник использовал продвинутые инструменты ИИ, учитывая сложность атаки. Тем временем, 0xQuit попросил держателей не взаимодействовать с этой платформой.
«Очень важно больше НЕ вносить NFT в Flooring Protocol, потому что они могут стать сразу уязвимыми», — сказал 0xQuit.
Злоумышленник всё ещё держит часть украденных NFT, поэтому дело ещё не закрыто. Как и в случае с другими проектами DeFi после атак, Flooring, вероятно, запустит новый контракт и примет решения о компенсациях пострадавшим держателям.