针对6月8日曝光的Flooring协议安全缺陷,Yuga Labs迅速响应,由首席执行官Michael Figge牵头展开专项应对。此次行动共转移并锁定29个无聊猿游艇俱乐部NFT、4个变异猿、1个犬舍俱乐部NFT、2个加密朋克、1个Azuki、2个Elementals、26个Captains、1个Moonbird及2个Doodles,防止其进一步被恶意套现。
在发现另一条潜在攻击路径后,Yuga Labs立即调动其内部区块链安全小组0xQuit与独立研究员“Coffee”联合行动。通过临时接管相关资金池的托管权限,并获得专项资金支持,团队得以在漏洞被彻底利用前完成关键资产的撤离。
经0xQuit深入分析,该问题源于Flooring协议在合约层面对所有权验证与索引系统之间的交互处理不当。攻击者可仅以极低成本封装以太币,生成近乎无限量的fpToken,进而通过协议池兑换出大量真实NFT,实现非授权转移。
核心问题之一是系统错误识别恶意代币为合法持有者,形成所谓的“幽灵所有权”现象。此外,记账逻辑中的整数下溢漏洞进一步放大了攻击者的代币供应量,使其具备操控价格、抽离流动性并盗取底层资产的能力。
Flooring协议的V2版本与BitmapPunks项目共享同一套合约结构,均采用同质化代币与锁定NFT一对一锚定的设计。尽管历经多次审计,该漏洞仍长期未被察觉,直至被实际利用才浮出水面,暴露出系统性审查盲区。
0xQuit已明确警示,向当前协议继续注入新的NFT可能带来持续威胁。尽管本次救援已阻止大规模损失,但仍有部分资产落入攻击者之手。后续修复工作需在全面验证后方可进行,确保无残留风险。
通过多方协同的白帽干预,超过50万美元价值的知名NFT系列得以保全。然而,部分资产仍未追回。目前Yuga Labs正与Flooring协议持续合作,推进漏洞修补、剩余资产追索及整体安全体系升级,以重建用户信任。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.