资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Yuga Labs发起NFT救援行动
Yuga Labs首席执行官Michael Figge表示,此次行动起因于6月8日Flooring协议中发现的安全漏洞。被成功转移保护的资产包括29个无聊猿游艇俱乐部NFT、4个变异猿、1个无聊猿犬舍俱乐部NFT、2个加密朋克、1个Azuki、2个Elementals、26个Captains、1个Moonbird以及2个Doodles。
Figge指出,在Yuga Labs发现另一条可能威胁资产的攻击路径之前,部分NFT系列已遭到针对。对此,Yuga Labs启动了由其区块链安全团队0xQuit与安全研究员“Coffee”协调执行的救援行动。团队获得了资金支持以及相关NFT的临时托管权,从而得以迅速从脆弱的资金池中移除高危资产。
Yuga Labs协调资产追回工作
Yuga Labs表示,待Flooring协议开发者完全修复并验证该安全漏洞后,被保护的NFT将归还给合法所有者。公司正与Flooring协议紧密合作,以确保资产回收过程的安全。
通过安全分析,0xQuit发现此次漏洞源于Flooring协议所有权验证与索引系统协议层的安全缺陷。该漏洞使得攻击者能够使用极少量的封装以太币生成近乎无限量的fpToken。这些被恶意膨胀的余额随后可被用于兑换协议池中存储的NFT。
幽灵所有权漏洞导致NFT被利用
问题的核心在于该漏洞导致所有权检查错误地验证了恶意代币ID,研究人员称之为“幽灵所有权”。此外,另有一处记账错误被报告导致了余额下溢,极大增加了攻击者的代币供应量。这些被过度膨胀的余额使得攻击者能够操纵代币价格、移除流动性并提取底层NFT。
FloorProtocol的代表在声明中承认,该漏洞同时影响了FloorProtocol V2与BitmapPunks项目。这两个项目基于相同的合约结构:所有发行的同质化代币与锁定在合约中的NFT保持1:1锚定,允许用户自由双向转换。该漏洞在多次安全审计中均未被发现,直至最终被利用。
Flooring协议面临持续安全风险
0xQuit就向Flooring协议存入更多NFT的风险发出警告,因为“新增资产可能仍处于风险之中”。尽管Yuga Labs成功保护了部分资产,但仍有部分NFT被认为已落入攻击者手中。不过,此次救援行动已成功避免了脆弱资金池遭受更大损失。
这起最新事件为Flooring协议屡受关注的安全问题列表再添一笔。该协议此前也曾遭受NFT相关攻击,据估计给平台造成了约150万美元的损失。至于由Yuga Labs所有的无聊猿游艇俱乐部等知名系列,仍然是网络犯罪分子的目标,持续成为NFT领域安全关注的焦点。
总结
通过协调的白帽救援努力,Yuga Labs已成功保护了价值超过50万美元的NFT,但部分资产仍掌握在攻击者手中。针对NFT领域最近的此次漏洞事件,公司仍在与Flooring协议合作修补漏洞、追回剩余资产并完善安全措施。
