Los mejores análisis sobre criptomonedas directamente en tu bandeja de entrada.
Los hackers atacan la bifurcación del protocolo Flooring, Asterisk, mientras se propaga el contagio
- Un ataque informático provocó pérdidas de aproximadamente 40.000 dólares en Asterix, una bifurcación de Flooring Protocol, utilizando la misma vulnerabilidad que le costó a Flooring más de 900.000 dólares un día antes.
- Investigadores éticos liderados por Yuga Labs recuperaron alrededor de 500.000 dólares en NFT de los fondos de Flooring.
- Los ataques consecutivos ponen de manifiesto el riesgo de que las bifurcaciones del código hereden fallos de seguridad sin parchear durante un año en el que las pérdidas por explotación de criptomonedas ya superan los 340 millones de dólares.
La vulnerabilidad del protocolo Flooring del 8 de junio tuvo una secuela hoy mismo cuando Asterix, una bifurcación de la plataforma de liquidez NFT, se convirtió en víctima de una vulnerabilidad que le costó aproximadamente 40.000 dólares en activos.
La noticia de la vulnerabilidad empaña el ambiente después de que investigadores éticos informaran haber ayudado a recuperar más de 500.000 dólares en NFT de primera categoría de la misma vulnerabilidad de Flooringtracque parece haber sido utilizada para infiltrarse en Asterisk.
La vulnerabilidad del protocolo Flooring se propagó a Asterisk a través de código bifurcado
Phalcon, miembro de la empresa de seguridad blockchain BlockSec, fue uno de los primeros en notar las similitudes entre el vector de ataque Asterix y la vulnerabilidad que permitió a los atacantes vaciar los pools del protocolo Flooring el 8 de junio.
Phalcon afirmó que el ataque al Protocolo de Suelos fue esencialmente una represalia contra Astérix, ya que este último aparentemente se derivó de DN404/BT404, un estándar de tokens que combina mecánicas fungibles y no fungibles.
Los informes iniciales sobre el incidente de Flooringdent pérdidas superiores a los 900.000 dólares antes de que las intervenciones de profesionales éticos ayudaran a recuperar alrededor de 500.000 dólares.
Asterix ya confirmó la brecha en un comunicadodel token $ASTXtracalrededor de las 4 a. m. GMT+8. El equipo indicó que estaba investigando y que publicaría un análisis completo una vez finalizado el mismo.
¿Cómo se produjo la vulnerabilidad de Flooring?
Flooring Protocol, que cesó sus operaciones el año pasado, permitía a los usuarios depositar NFT en fondos compartidos y recibir tokens fungibles vinculados uno a uno a esos activos bloqueados.
El ataque al Protocolo Flooring, que desde entonces ha comenzado a propagarse, explotó una falla en el sistema de contabilidad de estilo BT404 de la plataforma que el vicepresidente de Blockchain de Yuga Labs denominó un fenómeno de "propiedad fantasma" enX.
En términos sencillos, significa que alguien podría usar un ID de token malicioso para pasar una verificación de propiedad y luego reutilizarlo para producir un resultado diferente en otra lógica contable, causando un problemamaticen el saldo del token.
En este caso, el atacante creó un saldo casi infinito de fpTokens, los tokens fungibles que cualquiera puede usar para reclamar NFT bloqueados en los pools de Flooring.
Yuga Labs intensifica su esfuerzo en el ámbito del sombrero blanco
Una vez que se hizo público el problema de Flooring, el director ejecutivo de Yuga Labs, Michael Figge, dijo que la compañía rápidamente puso en marcha una operación de rescate ética antes de que otro atacante pudiera acceder a los NFT vulnerables.
La operación de rescate de NFT recuperó 68 NFT con un valor estimado de 346 ETH (aproximadamente 570.000 dólares en ese momento), incluyendo 29 NFT de Bored Ape Yacht Club, cuatro de Mutant Apes, dos de CryptoPunks, uno de Azuki, dos de Elementals, 26 de Captains, uno de Moonbird y dos de Doodles.
Super Secret Rare (SSR), un proyecto que detectó su vulnerabilidad después de que Asterisk fuera atacado, advirtió a los usuarios que no interactuaran con el pool mientras la situación permaneciera sin resolver.
FreeLunchCapital, la empresa desarrolladora de lostracafectados de Flooring, confirmó que la vulnerabilidad también afectó a BitmapPunks, que utilizaba un diseño detracsimilar. Ambos proyectos se basaban en tokens fungibles vinculados uno a uno a NFT bloqueados, lo que los hacía vulnerables a la misma vía de ataque.
Una hazaña tras otra
de Flooring y Asterixdentse suman a una racha lamentable de fallos de seguridad que azotan Web3. Como Cryptopolitan en informes anteriores, lastronindividualesdentde seguridad confirmados,dentcon pérdidas brutas totales de 68,3 millones de dólares, según Certik. PeckShield atribuyó pérdidas de 340,7 millones de dólares a 14 exploits de puente y de cadena cruzada hasta el 1 de junio.
Los protocolos bifurcados presentan sus propios problemas. Cuando los proyectos derivados copian código sin auditarlo, una sola vulnerabilidad en el código base puede replicarse en múltiples niveles, tal como sucedió en el caso de Flooring, Asterix.
Yuga Labs anunció que los NFT recuperados se devolverán una vez que los desarrolladores de Flooring Protocol implementen un parche. 0xQuit advirtió a los usuarios que no depositen nuevos NFT en Flooring mientras la vulnerabilidad permanezca activa. Para los poseedores de Asterix, la pérdida de 40 000 dólares es menor, pero el equipo aún no ha revelado si es posible recuperarlos.
Si estás leyendo esto, ya llevas ventaja. Mantente al día con nuestro boletín informativo.
Preguntas frecuentes
¿Qué es Astérix y qué relación tiene con Flooring Protocol?
Asterix es un proyecto que bifurcó su código del Protocolo Flooring y del estándar de token DN404/BT404. Esta base de código compartida significó que la misma vulnerabilidad explotada en Flooring el 8 de junio pudo usarse contra Asterix al día siguiente.
¿Cuánto se perdió y se recuperó en la vulnerabilidad del Protocolo de Suelos?
El impacto total de la vulnerabilidad Flooring superó los 900.000 dólares, y los investigadores éticos recuperaron aproximadamente 500.000 dólares en NFT, incluyendo 29 Bored Apes y dos CryptoPunks.
¿Qué causó la vulnerabilidad en Flooring Protocol?
Según 0xQuit, vicepresidente de blockchain de Yuga Labs, un fallo en el sistema de contabilidad de Flooring, similar al BT404, permitió que un ID de token malicioso superara una comprobación de propiedad, pero arrojara un resultado diferente en una contabilidad posterior, creando un estado de "propiedad fantasma" que le dio al atacante un saldo casi infinito de tokens de reclamación.
Aviso legal. La información proporcionada no constituye asesoramiento comercial. Cryptopolitanconsultar no se responsabiliza de las inversiones realizadas con base en la información proporcionada en esta página. Recomendamostronencarecidamente realizar una investigación independientedent un profesional cualificado antes de tomar cualquier decisión de inversión.
Hannah Collymore
Hannah es escritora y editora con casi una década de experiencia en redacción de blogs y reportajes sobre eventos en el ámbito de las criptomonedas. En Cryptopolitan, colabora en la sección de noticias, informando y analizando las últimas novedades en DeFi, RWA, regulación de criptomonedas, IA y tecnologías de vanguardia. Se graduó en Administración de Empresas por la Universidad de Arcadia.
- ¿Qué criptomonedas pueden hacerte ganar dinero?
- Cómo mejorar tu seguridad con una billetera (y cuáles realmente vale la pena usar)
- Estrategias de inversión poco conocidas que utilizan los profesionales
- Cómo empezar a invertir en criptomonedas (qué plataformas de intercambio usar, las mejores criptomonedas para comprar, etc.)