Asterix atingido com a vulnerabilidade do Flooring Protocol se espalhando por forks
A vulnerabilidade explorada pelo Flooring Protocol em 8 de junho teve uma continuação hoje, quando o Asterix, um fork da plataforma de liquidez NFT, foi vítima de uma falha que drenou aproximadamente US$ 40.000 em ativos.
A notícia sobre a exploração da vulnerabilidade azedou o clima depois que pesquisadores de segurança cibernética relataram ter ajudado a recuperar mais de US$ 500.000 em NFTs de primeira linha da mesma vulnerabilidade emtracde piso que parece ter sido usada para invadir o Asterisk.
A vulnerabilidade do Flooring Protocol se espalhou para o Asterisk por meio de código bifurcado
Membro da empresa de segurança blockchain BlockSec, Phalcon foi um dos primeiros a notar as semelhanças entre o vetor de ataque Asterix e a falha que permitiu aos atacantes esvaziar os pools do Flooring Protocol em 8 de junho.
Phalcon afirmou que o ataque ao Protocolo Flooring foi essencialmente um ataque contra o Asterix, pois este aparentemente foi derivado do DN404/BT404, um padrão de token que combina mecânicas fungíveis e não fungíveis.
Os relatórios iniciais sobre o incidente com o pisodent prejuízos superiores a US$ 900.000, antes que intervenções de profissionais éticos ajudassem a recuperar cerca de US$ 500.000.
A Asterix já confirmou a violação em um comunicado oficial, reconhecendo que uma vulnerabilidade atingiu o contrato do token $ASTXtracvolta das 4h da manhã (GMT+8). A equipe afirmou que está investigando o incidente e publicará um relatório completo assim que a análise for concluída.
Como ocorreu o exploit do piso?
O Flooring Protocol, que encerrou suas operações no ano passado, permitia que os usuários depositassem NFTs em pools e recebessem tokens fungíveis atrelados um a um a esses ativos bloqueados.
O ataque ao Protocolo Flooring, que desde então começou a se espalhar, explorou uma falha no sistema de contabilidade estilo BT404 da plataforma, que o vice-presidente de Blockchain da Yuga Labs chamou de fenômeno de "propriedade fantasma" noX.
Em termos simples, significa que alguém poderia usar um ID de token malicioso para passar em uma verificação de propriedade e ainda reutilizá-lo para produzir um resultado diferente em outra lógica de contabilização, causando um problemamaticno saldo de tokens.
Neste caso, o atacante criou um saldo quase infinito de fpTokens, os tokens fungíveis que qualquer pessoa pode usar para reivindicar NFTs bloqueados nos pools da Flooring.
A Yuga Labs intensifica seus esforços com iniciativas éticas
Assim que a vulnerabilidade do Flooring se tornou pública, o CEO da Yuga Labs, Michael Figge, afirmou que a empresa rapidamente lançou uma operação de resgate ética antes que outro invasor pudesse atingir os NFTs vulneráveis.
A operação de resgate de NFTs garantiu 68 NFTs avaliados em cerca de 346 ETH (aproximadamente US$ 570.000 na época), incluindo 29 NFTs do Bored Ape Yacht Club, quatro do Mutant Apes, dois do CryptoPunk, um do Azuki, dois do Elementals, 26 do Captains, um do Moonbird e dois do Doodles.
O projeto Super Secret Rare (SSR), que detectou sua vulnerabilidade após o ataque ao Asterisk, alertou os usuários para não interagirem com o pool enquanto a situação permanecesse sem solução.
A FreeLunchCapital, desenvolvedora dostracafetados da Flooring, confirmou que a vulnerabilidade também atingiu a BitmapPunks, que utilizava um design detracsimilar. Ambos os projetos dependiam de tokens fungíveis atrelados um a um a NFTs bloqueados, tornando-os vulneráveis ao mesmo ataque.
Uma façanha após a outra
com a Flooring e a Asterixdentsomam-se a uma série lamentável de falhas de segurança que assolam a Web3. Como Cryptopolitan em relatórios anteriores, astronem abril se transformaram em um aumento exponencial de incidentes individuaisdentmaio, chegando a 60 incidentes de segurança confirmados,dentUS$ 68,3 milhões em perdas brutas, segundo a Certik. A PeckShield atribuiu US$ 340,7 milhões em perdas a 14 explorações de pontes e entre cadeias até 1º de junho.
Protocolos bifurcados apresentam seus próprios tipos de problemas. Quando projetos subsequentes copiam o código sem auditá-lo, uma única vulnerabilidade no código-fonte pode ser replicada em vários níveis, como aconteceu agora no caso Flooring, Asterix.
A Yuga Labs afirmou que os NFTs recuperados serão devolvidos assim que os desenvolvedores do Flooring Protocol concluírem uma correção. A 0xQuit alertou os usuários para não depositarem novos NFTs no Flooring enquanto a vulnerabilidade permanecer aberta. Para os detentores de Asterix, a perda de US$ 40.000 é menor, mas a equipe ainda não divulgou se alguma recuperação será possível.
Se você está lendo isto, já está um passo à frente. Continue assim assinando nossa newsletter.
Artigos Recomendados
