Le migliori analisi sul mondo delle criptovalute, direttamente nella tua casella di posta.
Gli hacker colpiscono Asterisk, un fork di Flooring Protocol, mentre il contagio si diffonde
- Un attacco informatico ha sottratto circa 40.000 dollari ad Asterix, un fork di Flooring Protocol, sfruttando la stessa vulnerabilità che il giorno prima era costata a Flooring oltre 900.000 dollari.
- Un gruppo di ricercatori etici, guidati da Yuga Labs, ha recuperato circa 500.000 dollari in NFT dai pool di Flooring.
- I due attacchi consecutivi evidenziano il rischio che le codebase derivate ereditino falle di sicurezza non corrette, in un anno in cui le perdite dovute agli exploit crittografici hanno già superato i 340 milioni di dollari.
La vulnerabilità del protocollo Flooring dell'8 giugno ha avuto un seguito oggi, quando Asterix, un fork della piattaforma di liquidità NFT, è diventata vittima di un exploit che ha prosciugato circa 40.000 dollari di asset.
La notizia della violazione rovina l'atmosfera dopo che alcuni ricercatori etici hanno riferito di aver contribuito a recuperare oltre 500.000 dollari in NFT di alto valore sfruttando la stessa vulnerabilità di Flooringtracche sembra essere stata utilizzata per penetrare in Asterisk.
La vulnerabilità di Flooring Protocol si è diffusa ad Asterisk tramite codice derivato
Phalcon, membro della società di sicurezza blockchain BlockSec, è stato uno dei primi a notare le somiglianze tra il vettore di attacco Asterix e la falla che ha permesso agli aggressori di svuotare i pool di Flooring Protocol l'8 giugno.
Phalcon ha affermato che l'attacco Flooring Protocol è stato essenzialmente eseguito su Asterix perché quest'ultimo è apparentemente derivato da DN404/BT404, uno standard di token che combina meccanismi fungibili e non fungibili.
Le prime stime sull'incidente relativo alla pavimentazionedent perdite superiori a 900.000 dollari, prima che interventi di esperti del settore consentissero di recuperare circa 500.000 dollari.
Asterix ha già confermato la violazione in una dichiarazione su X, riconoscendo che un exploit ha colpito il contratto del token $ASTXtracalle 4 del mattino GMT+8. Il team ha affermato di star indagando e che pubblicherà un'analisi completa una volta terminata.
Come è avvenuto il exploit relativo ai pavimenti?
Flooring Protocol, che ha cessato le attività lo scorso anno, permetteva agli utenti di depositare NFT in pool e ricevere token fungibili ancorati uno a uno a tali asset bloccati.
L'attacco al Flooring Protocol, che da allora ha iniziato a diffondersi, ha sfruttato una falla nel sistema contabile in stile BT404 della piattaforma, che il vicepresidente di Yuga Labs per la blockchain ha definito un fenomeno di "proprietà fantasma" suX.
In parole semplici, significa che qualcuno potrebbe utilizzare un ID token malevolo per superare un controllo di proprietà e poi riutilizzarlo per ottenere un risultato diverso in un altro processo contabile, causando un problemamaticnel saldo dei token.
In questo caso, l'attaccante ha creato una quantità pressoché infinita di fpToken, i token fungibili che chiunque può utilizzare per riscattare gli NFT bloccati nei pool di Flooring.
Yuga Labs si impegna attivamente in un'iniziativa etica
Una volta che la vulnerabilità di Flooring è diventata pubblica, il CEO di Yuga Labs, Michael Figge, ha affermato che l'azienda ha rapidamente avviato un'operazione di salvataggio "white hat" prima che un altro attaccante potesse raggiungere gli NFT vulnerabili.
L'operazione di recupero degli NFT ha messo in sicurezza 68 NFT per un valore stimato di 346 ETH (circa 570.000 dollari all'epoca), tra cui 29 NFT del Bored Ape Yacht Club, quattro Mutant Ape, due CryptoPunk, un Azuki, due Elemental, 26 Captain, un Moonbird e due Doodle.
Super Secret Rare (SSR), un progetto che ha rilevato la propria vulnerabilità dopo l'attacco subito da Asterisk, ha avvertito gli utenti di non interagire con il pool finché la situazione non fosse stata risolta.
FreeLunchCapital, lo sviluppatore deitracdi Flooring interessati dalla vulnerabilità, ha confermato che l'exploit ha colpito anche BitmapPunks, che utilizzava un designtracsimile. Entrambi i progetti si basavano su token fungibili collegati uno a uno a NFT bloccati, rendendoli vulnerabili allo stesso tipo di attacco.
Un'impresa dopo l'altra
Gli incidenti di Flooring e Asterixdentaggiungono a una serie disastrosa di falle di sicurezza che stanno flagellando il Web3. Come Cryptopolitan osservato, letronad aprile si sono moltiplicate a dismisura, portando a un aumento del numero di singoli incidentidentmaggio, con 60 incidenti di sicurezza confermatidentun totale di 68,3 milioni di dollari di perdite lorde, secondo Certik. PeckShield ha attribuito perdite per 340,7 milioni di dollari a 14 exploit di tipo bridge e cross-chain al 1° giugno.
I protocolli derivati presentano una serie di problemi. Quando i progetti derivati copiano il codice senza verificarlo, una singola vulnerabilità nel codice sorgente può essere replicata su più livelli, proprio come è successo nel caso Flooring, Asterix.
Yuga Labs ha dichiarato che gli NFT recuperati verranno restituiti una volta che gli sviluppatori di Flooring Protocol avranno completato una patch. 0xQuit ha avvertito gli utenti di non depositare nuovi NFT in Flooring finché la vulnerabilità rimarrà aperta. Per i possessori di Asterix, la perdita di 40.000 dollari è di entità minore, ma il team non ha ancora rivelato se sia possibile un recupero.
Se stai leggendo questo, sei già un passo avanti. Rimani al passo con i tempi iscrivendoti alla nostra newsletter.
Domande frequenti
Cos'è Asterix e qual è il suo collegamento con Flooring Protocol?
Asterix è un progetto che ha derivato il suo codice da Flooring Protocol e dallo standard dei token DN404/BT404. Questa base di codice condivisa ha fatto sì che la stessa vulnerabilità sfruttata in Flooring l'8 giugno potesse essere utilizzata contro Asterix il giorno successivo.
Quanto è andato perso e quanto è stato recuperato nell'attacco al protocollo Flooring?
L'impatto totale della vulnerabilità Flooring ha superato i 900.000 dollari, con i ricercatori etici che hanno recuperato NFT per un valore di circa 500.000 dollari, tra cui 29 Bored Ape e due CryptoPunk.
Qual è stata la causa della vulnerabilità nel protocollo Flooring?
Secondo 0xQuit, vicepresidente di Yuga Labs per la blockchain, una falla nel sistema di contabilità in stile BT404 di Flooring ha permesso a un ID token malevolo di superare un controllo di proprietà, restituendo però un risultato diverso in una successiva verifica contabile, creando uno stato di "proprietà fantasma" che ha fornito all'attaccante un saldo pressoché infinito di token di rivendicazione.
Disclaimer. Le informazioni fornite non costituiscono consulenza di trading. Cryptopolitan/ non si assume alcuna responsabilità per gli investimenti effettuati sulla base delle informazioni fornite in questa pagina. Consigliamotronvivamente di effettuare ricerche indipendentident di consultare un professionista qualificato prima di prendere qualsiasi decisione di investimento.
Hannah Collymore
Hannah è una scrittrice e redattrice con quasi dieci anni di esperienza nella scrittura di blog e nella cronaca di eventi nel settore delle criptovalute. Collabora con Cryptopolitan, occupandosi della pagina notizie e analizzando gli ultimi sviluppi in ambito DeFi, RWA, regolamentazione delle criptovalute, intelligenza artificiale e tecnologie all'avanguardia. Si è laureata in Economia aziendale presso l'Università di Arcadia.
- Quali criptovalute possono farti guadagnare
- Come rafforzare la sicurezza del tuo portafoglio digitale (e quali sono quelli davvero validi)
- Strategie di investimento poco conosciute utilizzate dai professionisti
- Come iniziare a investire in criptovalute (quali piattaforme di scambio utilizzare, le migliori criptovalute da acquistare, ecc.)