黑客攻击 Flooring Protocol 分支 Asterisk，疫情蔓延

6 月 8 日的 Flooring Protocol 漏洞今天早些时候又出现了续集，NFT 流动性平台的一个分支 Asterix 成为漏洞的受害者，导致大约 4 万美元的资产被盗。. 

在白帽研究人员报告称他们已帮助从同一个 Flooring 合同trac中追回了价值超过 50 万美元的蓝筹 NFT 之后，这一漏洞利用新闻让气氛变得糟糕起来。该漏洞似乎已被用于入侵 Asterisk。.

Flooring Protocol 的漏洞通过分叉代码传播到了 Asterisk。

作为 BlockSec 区块链安全公司的一员，Phalcon 是最早注意到 Asterix 攻击向量与 6 月 8 日攻击者耗尽 Flooring Protocol 池的漏洞之间相似之处的人之一。.

Phalcon 表示，地板协议攻击本质上是对 Asterix 发起的反击，因为后者显然是从 DN404/BT404 分叉出来的，DN404/BT404 是一种融合了可互换和非可互换机制的代币标准。.

地板事故的初步报告dent ，损失金额超过 90 万美元，之后 白帽干预措施 帮助追回了约 50 万美元。

Asterix 已在一份 声明中确认了此次安全遭到攻击trac。团队表示正在进行调查，分析完成后将发布完整的事件分析报告。

地板漏洞是如何发生的？

Flooring Protocol 于去年停止运营，它允许用户将 NFT 存入资金池，并获得与这些锁定资产一对一挂钩的同质化代币。.

此后开始蔓延的 Flooring Protocol 攻击利用了该平台 BT404 式会计系统中的一个缺陷，Yuga Labs 区块链副总裁称之为 X 上的。

简单来说，这意味着有人可以使用一个恶意令牌 ID 通过一次所有权检查，然后再次使用该 ID 在另一个会计逻辑中产生不同的结果，从而导致令牌余额出现matic问题。.

在这种情况下，攻击者创建了近乎无限的 fpToken 余额，fpToken 是一种可互换的代币，任何人都可以使用它来领取锁定在 Flooring 池中的 NFT。.

Yuga Labs加大了白帽攻击力度

Flooring 漏洞公开后，Yuga Labs 首席执行官 Michael Figge 表示，该公司迅速启动了白帽救援行动，以防止其他攻击者得逞，从而保护易受攻击的 NFT。.

此次 NFT 救援行动成功找回了 68 个 NFT，价值估计为 346 ETH（当时约合 57 万美元），其中包括 29 个 Bored Ape Yacht Club NFT、4 个 Mutant Apes、2 个 CryptoPunks、1 个 Azuki、2 个 Elementals、26 个 Captains、1 个 Moonbird 和 2 个 Doodles。.

Super Secret Rare (SSR) 项目在 Asterisk 遭受攻击后发现了自身的漏洞， 并警告用户 在问题解决之前不要与该池进行交互。

Flooring受影响trac的开发商FreeLunchCapital证实，BitmapPunks也受到了该漏洞的影响，后者使用了类似的trac设计。这两个项目都依赖于与锁定NFT一对一挂钩的同质化代币，因此容易受到相同的攻击。.

一次又一次的攻击

Flooring 和 Asterix 事件dent加剧了Web3 Cryptopolitan安全漏洞频发的局面。正如在之前的报告中指出的那样，4 月份天文般tron数量的激增而愈演愈烈dent5 月份已确认的安全事件达到 60 起，dent损失高达 6830 万美元。PeckShield 则将 6 月 1 日的 3.407 亿美元损失归因于 14 起桥接和跨链漏洞攻击。的美元损失在 5 月份随着安全，据 Certik 统计，

分叉协议会带来一些独特的难题。当下游项目在未进行审计的情况下复制代码时，基础代码库中的一个漏洞就可能被复制到多个层级，就像最近 Flooring 和 Asterix 的案例一样。.

Yuga Labs表示，一旦Flooring Protocol开发者完成补丁，已获救的NFT将会返还。0xQuit警告用户，在漏洞仍然存在之前，不要将新的NFT存入Flooring。对于Asterix持有者而言，4万美元的损失规模较小，但团队尚未透露是否有任何追回的可能性。.