Asterix sufre un duro golpe: una vulnerabilidad del protocolo Flooring se propaga por varias bifurcaciones
La vulnerabilidad del protocolo Flooring del 8 de junio tuvo una secuela hoy mismo cuando Asterix, una bifurcación de la plataforma de liquidez NFT, se convirtió en víctima de una vulnerabilidad que le costó aproximadamente 40.000 dólares en activos.
La noticia de la vulnerabilidad empaña el ambiente después de que investigadores éticos informaran haber ayudado a recuperar más de 500.000 dólares en NFT de primera categoría de la misma vulnerabilidad de Flooringtracque parece haber sido utilizada para infiltrarse en Asterisk.
La vulnerabilidad del protocolo Flooring se propagó a Asterisk a través de código bifurcado
Phalcon, miembro de la empresa de seguridad blockchain BlockSec, fue uno de los primeros en notar las similitudes entre el vector de ataque Asterix y la vulnerabilidad que permitió a los atacantes vaciar los pools del protocolo Flooring el 8 de junio.
Phalcon afirmó que el ataque al Protocolo de Suelos fue esencialmente una represalia contra Astérix, ya que este último aparentemente se derivó de DN404/BT404, un estándar de tokens que combina mecánicas fungibles y no fungibles.
Los informes iniciales sobre el incidente de Flooringdent pérdidas superiores a los 900.000 dólares antes de que las intervenciones de profesionales éticos ayudaran a recuperar alrededor de 500.000 dólares.
Asterix ya confirmó la brecha en un comunicadodel token $ASTXtracalrededor de las 4 a. m. GMT+8. El equipo indicó que estaba investigando y que publicaría un análisis completo una vez finalizado el mismo.
¿Cómo se produjo la vulnerabilidad de Flooring?
Flooring Protocol, que cesó sus operaciones el año pasado, permitía a los usuarios depositar NFT en fondos compartidos y recibir tokens fungibles vinculados uno a uno a esos activos bloqueados.
El ataque al Protocolo Flooring, que desde entonces ha comenzado a propagarse, explotó una falla en el sistema de contabilidad de estilo BT404 de la plataforma que el vicepresidente de Blockchain de Yuga Labs denominó un fenómeno de "propiedad fantasma" enX.
En términos sencillos, significa que alguien podría usar un ID de token malicioso para pasar una verificación de propiedad y luego reutilizarlo para producir un resultado diferente en otra lógica contable, causando un problemamaticen el saldo del token.
En este caso, el atacante creó un saldo casi infinito de fpTokens, los tokens fungibles que cualquiera puede usar para reclamar NFT bloqueados en los pools de Flooring.
Yuga Labs intensifica su esfuerzo en el ámbito del sombrero blanco
Una vez que se hizo público el problema de Flooring, el director ejecutivo de Yuga Labs, Michael Figge, dijo que la compañía rápidamente puso en marcha una operación de rescate ética antes de que otro atacante pudiera acceder a los NFT vulnerables.
La operación de rescate de NFT recuperó 68 NFT con un valor estimado de 346 ETH (aproximadamente 570.000 dólares en ese momento), incluyendo 29 NFT de Bored Ape Yacht Club, cuatro de Mutant Apes, dos de CryptoPunks, uno de Azuki, dos de Elementals, 26 de Captains, uno de Moonbird y dos de Doodles.
Super Secret Rare (SSR), un proyecto que detectó su vulnerabilidad después de que Asterisk fuera atacado, advirtió a los usuarios que no interactuaran con el pool mientras la situación permaneciera sin resolver.
FreeLunchCapital, la empresa desarrolladora de lostracafectados de Flooring, confirmó que la vulnerabilidad también afectó a BitmapPunks, que utilizaba un diseño detracsimilar. Ambos proyectos se basaban en tokens fungibles vinculados uno a uno a NFT bloqueados, lo que los hacía vulnerables a la misma vía de ataque.
Una hazaña tras otra
de Flooring y Asterixdentse suman a una racha lamentable de fallos de seguridad que azotan Web3. Como Cryptopolitan en informes anteriores, lastronindividualesdentde seguridad confirmados,dentcon pérdidas brutas totales de 68,3 millones de dólares, según Certik. PeckShield atribuyó pérdidas de 340,7 millones de dólares a 14 exploits de puente y de cadena cruzada hasta el 1 de junio.
Los protocolos bifurcados presentan sus propios problemas. Cuando los proyectos derivados copian código sin auditarlo, una sola vulnerabilidad en el código base puede replicarse en múltiples niveles, tal como sucedió en el caso de Flooring, Asterix.
Yuga Labs anunció que los NFT recuperados se devolverán una vez que los desarrolladores de Flooring Protocol implementen un parche. 0xQuit advirtió a los usuarios que no depositen nuevos NFT en Flooring mientras la vulnerabilidad permanezca activa. Para los poseedores de Asterix, la pérdida de 40 000 dólares es menor, pero el equipo aún no ha revelado si es posible recuperarlos.
Si estás leyendo esto, ya llevas ventaja. Mantente al día con nuestro boletín informativo.
Artículos Recomendados
