6月8日,Yuga Labs启动白帽紧急干预行动,在发现去中心化协议Flooring Protocol存在致命安全缺陷后,迅速采取措施保护了68件关键NFT资产的安全。该平台允许用户以NFT为抵押获取流动性代币,但此次漏洞使攻击者得以非法操控代币余额。
据公司官方确认,所有被窃取的数字资产均已通过技术手段成功回收,目前由Yuga Labs进行临时托管。被救出的资产涵盖29件Bored Apes、4件Mutant Apes、1件BAKC、2件CryptoPunks、1件Azuki、2件Elementals、26件Captains、1件Moonbird及2件Doodles。
该漏洞的核心在于一个被称作“幽灵所有权”的异常现象——攻击者利用有缺陷的打包结构与索引逻辑,构造出可绕过验证却引发下溢的恶意代币ID。这使得其虚拟余额被虚增至远超实际数量的水平。
区块链专家0xQuit指出,这种异常触发了未授权的余额修改,从而人为制造出虚假的代币供应量。借助这些欺诈性凭证,攻击者将代币价格压至接近零,进而清空流动性池并提取底层质押的NFT。
Flooring Protocol的主要开发者0xFreeLunch披露,该漏洞不仅影响本平台,还波及同属生态的BitmapPunks项目。两者均依赖于1:1锚定机制,将可替代代币与锁定的NFT绑定,但即便经过多轮独立审计,仍未能识别此深层缺陷。
0xQuit强调,该攻击路径的实际影响范围远超最初预估,且同样威胁到由BitmapPunks团队管理的多个流动性池。他已公开警告所有用户暂停向该协议存入新资产,直至漏洞修复完成。
协议架构师承认,该问题源于对位级操作的过度优化,导致在常规审计流程中难以察觉。这一设计选择直接埋下了安全隐患。
此次事件是该平台第二次遭遇重大安全事故,此前一次漏洞曾造成约150万美元的资产损失。目前开发团队正协同多家安全机构与交易所,追踪被盗资产流向,并推动漏洞全面修复工作。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.