Yuga Labs ha portato a termine il operazione salvataggio NFT Yuga Labs il 8 giugno, dopo un exploit che ha colpito Flooring Protocol e messo a rischio asset digitali di alto valore. L’intervento di emergenza ha permesso di mettere in sicurezza 68 NFT, tra cui Bored Apes, CryptoPunks, Azuki, Doodles e Moonbirds, per un valore stimato superiore a 500.000 dollari.
I token recuperati sono ora in custodia presso Yuga Labs e saranno restituiti ai proprietari solo dopo il rilascio di una patch correttiva da parte del team di Flooring Protocol. Nel frattempo, gli utenti sono stati invitati a non depositare nuovi NFT sulla piattaforma finché la vulnerabilità non sarà risolta. Si tratta di un nuovo attacco Flooring Protocol NFT che riporta al centro il tema della sicurezza nelle infrastrutture NFT.
Summary
Operazione di emergenza e NFT recuperati
La collezione recuperata comprende 29 Bored Apes, 4 Mutant Apes, 1 BAKC, 2 CryptoPunks, 1 Azuki, 2 Elementals, 26 Captains, 1 Moonbird e 2 Doodles. Questi asset erano finiti in pool di liquidità NFT gestiti da Flooring Protocol, un’applicazione che consente di bloccare NFT in cambio di token fungibili chiamati fpTokens.
Michael Figge, CEO di Yuga Labs, ha confermato l’esito positivo dell’operazione di whitehat rescue. Ha anche sottolineato il ruolo del trading desk interno GrailsOTC e del ricercatore di sicurezza Coffee, che hanno aiutato a spostare rapidamente i token fuori dalla portata degli attaccanti.
Come ha funzionato l’exploit su Flooring Protocol
Alla base dell’attacco c’era un bug nella logica di ownership packed e nell’indicizzazione dei token. In pratica, un ID token malevolo poteva superare i controlli di proprietà pur mostrando un contatore incoerente. Questo creava una ghost ownership, cioè una falsa proprietà invisibile ai controlli ordinari.
Da lì è nato un underflow nel bilancio degli fpTokens, che ha permesso agli aggressori di coniare quantità quasi illimitate di token fungibili partendo da un deposito minimo di WETH. Successivamente hanno manipolato i prezzi di mercato fino quasi a zero, drenando in fretta la liquidità dai pool e riscattando gli NFT sottostanti.
Perché l’operazione salvataggio NFT Yuga Labs è stata decisiva
L’operazione salvataggio NFT Yuga Labs ha funzionato perché Yuga Labs, GrailsOTC e Coffee hanno agito in fretta. Anche se alcuni asset erano già stati sottratti in modo indebito, l’intervento tempestivo ha permesso di recuperare una parte significativa degli NFT blue-chip coinvolti.
Il blockchain lead di Yuga Labs, 0xQuit, ha avvertito la community: nessun nuovo NFT dovrebbe essere depositato su Flooring Protocol finché non arriverà una correzione stabile. Il rischio di ulteriori exploit, infatti, resta aperto fino alla patch.
Le implicazioni per la sicurezza NFT
Questo episodio mostra ancora una volta quanto siano fragili anche le infrastrutture NFT apparentemente consolidate, soprattutto quando mescolano token fungibili e non fungibili in pool di liquidità complessi. La combinazione tra smart contract, logiche di ownership e meccanismi di prezzo può creare falle difficili da vedere e molto veloci da sfruttare.
Flooring Protocol non è nuovo a problemi di sicurezza. In passato aveva già registrato un breach con perdite per circa 1,5 milioni di dollari in NFT. Il capo sviluppatore 0xFreeLunch ha ammesso la responsabilità sul design del contratto e ha spiegato che l’ottimizzazione bitwise per risparmiare gas ha nascosto la falla ai controlli.
Il caso rafforza anche un altro punto: i progetti blockchain che gestiscono asset di questo tipo devono investire di più nella verifica dei contratti intelligenti, nella gestione delle vulnerabilità e in una comunicazione chiara con la community. Per collezioni NFT come queste, la sicurezza non è un dettaglio tecnico. È parte del valore.
FAQ sull’attacco a Flooring Protocol
Che tipo di exploit ha colpito Flooring Protocol?
Il problema nasceva da un bug nella logica di ownership packed e nell’indicizzazione dei token. La falla ha permesso agli aggressori di creare una falsa proprietà e di coniare quasi senza limiti gli fpTokens, svuotando i pool di liquidità NFT.
Quanti NFT ha recuperato Yuga Labs e quale valore avevano?
Yuga Labs ha recuperato 68 NFT di alto valore. Il pacchetto includeva Bored Apes, CryptoPunks, Azuki, Doodles e Moonbirds, con un valore stimato superiore a 500.000 dollari.
Chi ha aiutato Yuga Labs nell’intervento di emergenza?
Alla intervento emergenza NFT Yuga Labs hanno collaborato il trading desk GrailsOTC e il ricercatore di sicurezza Coffee. Michael Figge ha confermato pubblicamente il loro contributo.
È sicuro depositare NFT su Flooring Protocol adesso?
No. Gli utenti sono stati avvertiti di non depositare nuovi NFT finché la vulnerabilità non sarà corretta con una patch stabile.
Che cosa ha causato la vulnerabilità nel contratto smart di Flooring Protocol?
Secondo quanto riportato, la falla deriva dal modo in cui il contratto gestiva ownership packed e indicizzazione. Questa struttura ha reso possibile la ghost ownership e l’underflow del bilancio fpTokens.
