Na-recover ng Yuga Labs ang 68 NFT na may halagang lagpas $500,000 sa isang emergency na white-hat operation. Sinuportahan nila agad ang mga asset na exposed dahil na-hack ang Flooring Protocol antes pa maagaw ng mga attacker.
Kabilang sa na-recover na NFT ang 29 Bored Apes, dalawang CryptoPunks, at apat na Mutant Apes. Hawak muna ito ngayon ni Yuga para maibalik sa mga may-ari kapag naayos na ang protocol.
Paano Nangyari ang Exploit
Ang Flooring Protocol ay NFT liquidity platform na pwedeng ilock ng users ang NFT nila kapalit ng fungible fpTokens, na laging 1:1 ang value sa nilagay nilang NFT.
Nagsimula ang attacker sa maliit na halaga ng Wrapped Ether (WETH). Ginamit nila ang butas sa accounting logic ng protocol kaya nakagawa sila ng halos walang limit na fpToken balance.
Ayon kay 0xQuit, VP ng blockchain ng Yuga, gumamit ang attacker ng specially crafted na token ID kaya nagkaroon ng ghost ownership state. Nang chineck yung ownership, pasado sa isang paraan pero iba ang view sa internal bookkeeping ng protocol.
I-follow kami sa X para mabalitaan agad ang mga latest crypto news
Sunod, nagkaroon ng dalawang unchecked underflows, kaya naging grabe ang laki ng balance ng attacker. Binagsak nila ang presyo ng fpToken halos zero at naubos ang laman ng mga apektadong pool.
Bakit Kailangan Kumilos ni Yuga
Habang iniimbestigahan pa, may nadiskubre pa silang bagong paraan ng atake para maapektuhan yung mas high value na pools, kasama na ang mga blue-chip NFT collections. Hindi agad naapektuhan ang mga ito kasi konti lang liquidity ng pool nila noong una.
Nasa flagship NFT collections talaga nakasalalay ang laban. Halimbawa, ang Bored Ape floor price ay halos 8.95 ETH, o mga $15,121, habang ang CryptoPunks ay lampas 32 ETH o nasa $55,248, base sa CoinGecko noong June 8.
Sa presyong yan, yung 29 Bored Apes pa lang ay nasa $441,000 na, pinakamalaki sa buong na-recover.
Malapit sa $500,000 ang estimate sa lahat ng 68 NFTs, ayon kay 0xQuit. Nangyari din ang exploit nung weekend kaya mas maliit ang chance na may team na nagbabantay ng on-chain activity.
Nung nakaraang taon pa nag-sunset mode ang Flooring Protocol at halos di na minamantina ang NFT side nila. Yung creator ng protocol mismo, nagstay bilang liquidity provider, napa-dami rin ang NFT na na-hack sa kanya.
Sabi ng CEO na si Michael Figge, inutusan niyang maglabas ng pondo ang GrailsOTC desk at magbigay rin ng NFTs para sa mabilisang rescue. Nag-deploy agad ang team ng contract gamit din yung parehong bug, pero this time para protectahan at hindi abusuhin — parang mga naunang white-hat recovery effort sa DeFi.
Ang Yuga, na nag-acquire din ng CryptoPunks collection, sinabi na pansamantala lang talaga itong move na ‘to. Umamin din ang architect (si 0xFreeLunch), at pinagbintangan yung gas-optimized code na naging dahilan bakit hindi nakita ng auditors ang bug.
Ano Nga Ba ang Kasunod?
Hinala rin ng gumawa ng protocol na gumamit ng advanced AI tools ang attacker, dahil sobrang komplikado ng exploit. Pinayuhan naman ni Quit lahat ng may hawak na NFT na umiwas munang gamitin ang platform.
“Mahalaga na HUWAG nang magdeposit pa ng NFT sa Flooring Protocol, kasi puwedeng ma-expose agad ito,” sabi ni Quit.
Hawak pa rin ng mga attacker ang iba pang nanakaw na NFT kaya tuloy pa rin ang kaso. Tulad ng ibang DeFi project na nakaranas ng exploit, kailangan pang mag-desisyon ng Flooring kung magre-relaunch ng contract o magka-compensate para sa mga naipit na holder.
