As melhores informações sobre criptomoedas direto na sua caixa de entrada.
Hackers atacam Asterisk, uma bifurcação do Flooring Protocol, enquanto o contágio se espalha
- Uma exploração de vulnerabilidade drenou aproximadamente US$ 40.000 da Asterix, uma bifurcação do Flooring Protocol, usando a mesma falha que custou à Flooring mais de US$ 900.000 um dia antes.
- Pesquisadores éticos liderados pela Yuga Labs recuperaram cerca de US$ 500.000 em NFTs dos pools da Flooring.
- Os ataques consecutivos destacam o risco de bases de código bifurcadas herdarem falhas de segurança não corrigidas em um ano em que as perdas com exploração de criptomoedas já ultrapassaram US$ 340 milhões.
A vulnerabilidade explorada pelo Flooring Protocol em 8 de junho teve uma continuação hoje, quando o Asterix, um fork da plataforma de liquidez NFT, foi vítima de uma falha que drenou aproximadamente US$ 40.000 em ativos.
A notícia sobre a exploração da vulnerabilidade azedou o clima depois que pesquisadores de segurança cibernética relataram ter ajudado a recuperar mais de US$ 500.000 em NFTs de primeira linha da mesma vulnerabilidade emtracde piso que parece ter sido usada para invadir o Asterisk.
A vulnerabilidade do Flooring Protocol se espalhou para o Asterisk por meio de código bifurcado
Membro da empresa de segurança blockchain BlockSec, Phalcon foi um dos primeiros a notar as semelhanças entre o vetor de ataque Asterix e a falha que permitiu aos atacantes esvaziar os pools do Flooring Protocol em 8 de junho.
Phalcon afirmou que o ataque ao Protocolo Flooring foi essencialmente um ataque contra o Asterix, pois este aparentemente foi derivado do DN404/BT404, um padrão de token que combina mecânicas fungíveis e não fungíveis.
Os relatórios iniciais sobre o incidente com o pisodent prejuízos superiores a US$ 900.000, antes que intervenções de profissionais éticos ajudassem a recuperar cerca de US$ 500.000.
A Asterix já confirmou a violação em um comunicado oficial, reconhecendo que uma vulnerabilidade atingiu o contrato do token $ASTXtracvolta das 4h da manhã (GMT+8). A equipe afirmou que está investigando o incidente e publicará um relatório completo assim que a análise for concluída.
Como ocorreu o exploit do piso?
O Flooring Protocol, que encerrou suas operações no ano passado, permitia que os usuários depositassem NFTs em pools e recebessem tokens fungíveis atrelados um a um a esses ativos bloqueados.
O ataque ao Protocolo Flooring, que desde então começou a se espalhar, explorou uma falha no sistema de contabilidade estilo BT404 da plataforma, que o vice-presidente de Blockchain da Yuga Labs chamou de fenômeno de "propriedade fantasma" noX.
Em termos simples, significa que alguém poderia usar um ID de token malicioso para passar em uma verificação de propriedade e ainda reutilizá-lo para produzir um resultado diferente em outra lógica de contabilização, causando um problemamaticno saldo de tokens.
Neste caso, o atacante criou um saldo quase infinito de fpTokens, os tokens fungíveis que qualquer pessoa pode usar para reivindicar NFTs bloqueados nos pools da Flooring.
A Yuga Labs intensifica seus esforços com iniciativas éticas
Assim que a vulnerabilidade do Flooring se tornou pública, o CEO da Yuga Labs, Michael Figge, afirmou que a empresa rapidamente lançou uma operação de resgate ética antes que outro invasor pudesse atingir os NFTs vulneráveis.
A operação de resgate de NFTs garantiu 68 NFTs avaliados em cerca de 346 ETH (aproximadamente US$ 570.000 na época), incluindo 29 NFTs do Bored Ape Yacht Club, quatro do Mutant Apes, dois do CryptoPunk, um do Azuki, dois do Elementals, 26 do Captains, um do Moonbird e dois do Doodles.
O projeto Super Secret Rare (SSR), que detectou sua vulnerabilidade após o ataque ao Asterisk, alertou os usuários para não interagirem com o pool enquanto a situação permanecesse sem solução.
A FreeLunchCapital, desenvolvedora dostracafetados da Flooring, confirmou que a vulnerabilidade também atingiu a BitmapPunks, que utilizava um design detracsimilar. Ambos os projetos dependiam de tokens fungíveis atrelados um a um a NFTs bloqueados, tornando-os vulneráveis ao mesmo ataque.
Uma façanha após a outra
com a Flooring e a Asterixdentsomam-se a uma série lamentável de falhas de segurança que assolam a Web3. Como Cryptopolitan em relatórios anteriores, astronem abril se transformaram em um aumento exponencial de incidentes individuaisdentmaio, chegando a 60 incidentes de segurança confirmados,dentUS$ 68,3 milhões em perdas brutas, segundo a Certik. A PeckShield atribuiu US$ 340,7 milhões em perdas a 14 explorações de pontes e entre cadeias até 1º de junho.
Protocolos bifurcados apresentam seus próprios tipos de problemas. Quando projetos subsequentes copiam o código sem auditá-lo, uma única vulnerabilidade no código-fonte pode ser replicada em vários níveis, como aconteceu agora no caso Flooring, Asterix.
A Yuga Labs afirmou que os NFTs recuperados serão devolvidos assim que os desenvolvedores do Flooring Protocol concluírem uma correção. A 0xQuit alertou os usuários para não depositarem novos NFTs no Flooring enquanto a vulnerabilidade permanecer aberta. Para os detentores de Asterix, a perda de US$ 40.000 é menor, mas a equipe ainda não divulgou se alguma recuperação será possível.
Se você está lendo isto, já está um passo à frente. Continue assim assinando nossa newsletter.
Perguntas frequentes
O que é Asterix e como se relaciona com o Protocolo de Pisos?
Asterix é um projeto que derivou seu código do Flooring Protocol e do padrão de token DN404/BT404. Essa base de código compartilhada significava que a mesma vulnerabilidade explorada no Flooring em 8 de junho poderia ser usada contra o Asterix no dia seguinte.
Qual foi o valor perdido e recuperado na exploração do Protocolo de Pisos?
O impacto total da vulnerabilidade Flooring ultrapassou os 900 mil dólares, com pesquisadores éticos recuperando aproximadamente 500 mil dólares em NFTs, incluindo 29 Bored Apes e dois CryptoPunks.
Qual foi a causa da vulnerabilidade no Protocolo de Pisos?
Segundo 0xQuit, vice-presidente de Blockchain da Yuga Labs, uma falha no sistema de contabilidade estilo BT404 da Flooring permitiu que um ID de token malicioso passasse por uma verificação de propriedade, mas retornasse um resultado diferente em verificações posteriores, criando um estado de "propriedade fantasma" que deu ao atacante um saldo quase infinito de tokens de reivindicação.
Aviso Legal. As informações fornecidas não constituem aconselhamento de investimento. CryptopolitanO não se responsabiliza por quaisquer investimentos realizados com base nas informações fornecidas nesta página. Recomendamostrona realização de pesquisas independentesdent /ou a consulta a um profissional qualificado antes de tomar qualquer decisão de investimento.
Hannah Collymore
Hannah é escritora e editora com quase uma década de experiência em redação para blogs e cobertura de eventos no universo das criptomoedas. No Cryptopolitan, Hannah contribui para a página de notícias, reportando e analisando os últimos desenvolvimentos em DeFi, RWA, regulamentação de criptomoedas, IA e tecnologias de ponta. Ela se formou em Administração de Empresas pela Universidade Arcadia.
- Quais criptomoedas podem te fazer ganhar dinheiro?
- Como aumentar a segurança da sua carteira digital (e quais realmente valem a pena usar)
- Estratégias de investimento pouco conhecidas que os profissionais utilizam
- Como começar a investir em criptomoedas (quais corretoras usar, as melhores criptomoedas para comprar etc.)