摘要:Yuga Labs在发现Flooring Protocol平台存在严重安全缺陷后,迅速展开白帽救援,成功挽回价值超50万美元的68件NFT资产。漏洞源于幽灵所有权机制,攻击者可虚增代币余额并耗尽流动性池。
币圈界报道:
Yuga Labs主导白帽行动,成功拦截大规模NFT盗取事件
6月8日,Yuga Labs启动紧急响应机制,针对去中心化协议Flooring Protocol中暴露出的关键安全问题实施干预,成功保护了共计68件高价值NFT资产免遭损失。该平台原设计允许用户将NFT存入以获取可流通的fpToken,但漏洞被利用后导致资产面临全面蒸发风险。
核心资产抢救成果公布,总值逾50万美元
据官方披露,此次救援行动共回收包括29件Bored Apes、4件Mutant Apes、1件BAKC、2件CryptoPunks、1件Azuki、2件Elementals、26件Captains、1件Moonbird及2件Doodles在内的全部受损资产。所有物品目前由Yuga Labs代为保管,待协议修复后将归还合法持有者。
漏洞本质:幽灵所有权与记账逻辑冲突
该漏洞的核心在于一个隐蔽的合约结构缺陷——攻击者可通过构造特定恶意代币ID,绕过所有权验证的同时触发异常记账行为。这种被称为‘幽灵所有权’的机制,使攻击者能够通过下溢条件人为制造无限余额,从而操控代币价格至接近零。
一旦代币价值崩塌,流动性池资金被快速抽空,底层绑定的NFT随即被非法提取。区块链分析师0xQuit指出,这一漏洞是由于位级操作优化引入的复杂性,使得传统审计难以覆盖其深层影响。
多项目受波及,架构师承认责任归属
Flooring Protocol主开发者0xFreeLunch证实,该漏洞同时影响其升级版本V2及关联平台BitmapPunks。两个系统均依赖1:1锚定机制维持fpToken与锁定NFT的价值对应,然而即便经过多次独立审计,仍未能识别此潜在攻击路径。
0xQuit警告称,攻击范围远超初始评估,且同一漏洞模式已危及由BitmapPunks团队管理的多个流动性池。当前建议所有用户暂停向该协议存入新资产,直至补丁部署完成。
开发团队承认对合约架构负有直接责任,并强调此前的Gas优化设计虽提升效率,却意外引入了难以察觉的逻辑盲区。这已是该平台两年内第二次遭遇重大安全事故,此前一次造成约150万美元的资产损失。
目前,相关团队正协同多家安全机构与交易所追踪被盗资产流向,并推进漏洞修复进程,确保系统恢复可信状态。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。