Yuga Labs tamamladı Yuga Labs NFT kurtarma operasyonunu 8 Haziran’da, Flooring Protocol’ü vuran ve yüksek değerli dijital varlıkları riske atan bir exploittin ardından. Acil müdahale sayesinde Bored Apes, CryptoPunks, Azuki, Doodles ve Moonbirds’ün de aralarında bulunduğu 68 NFT güvence altına alındı; bunların tahmini değeri 500.000 doların üzerindeydi.
Kurtarılan tokenlar şu anda Yuga Labs’in gözetiminde tutuluyor ve Flooring Protocol ekibi tarafından düzeltme yaması yayınlandıktan sonra sahiplerine iade edilecek. Bu arada, kullanıcılar, güvenlik açığı giderilene kadar platforma yeni NFT yatırmamaları konusunda uyarıldı. Bu, NFT altyapılarında güvenlik konusunu yeniden gündeme getiren yeni bir Flooring Protocol NFT saldırısı anlamına geliyor.
Summary
Acil operasyon ve kurtarılan NFT’ler
Kurtarılan koleksiyon; 29 Bored Apes, 4 Mutant Apes, 1 BAKC, 2 CryptoPunks, 1 Azuki, 2 Elementals, 26 Captains, 1 Moonbird ve 2 Doodles’tan oluşuyor. Bu varlıklar, NFT’leri fpToken adı verilen fungible tokenlar karşılığında kilitlemeye imkân tanıyan bir uygulama olan Flooring Protocol tarafından yönetilen NFT likidite havuzlarına aktarılmıştı.
Yuga Labs CEO’su Michael Figge, whitehat kurtarma operasyonunun başarılı sonuçlandığını doğruladı. Ayrıca, tokenları saldırganların erişiminden hızla çıkarmaya yardımcı olan dahili trading masası GrailsOTC’nin ve güvenlik araştırmacısı Coffee’nin rolünün altını çizdi.
Exploit Flooring Protocol’de nasıl çalıştı?
Saldırının temelinde, ownership packed mantığında ve token indekslemesinde bulunan bir hata vardı. Pratikte, kötü niyetli bir token ID’si, tutarsız bir sayaç gösterse bile mülkiyet kontrollerini aşabiliyordu. Bu da, normal kontrollerle görünmeyen sahte bir mülkiyet anlamına gelen bir ghost ownership durumu yaratıyordu.
Buradan, fpToken bakiyesinde bir underflow oluştu ve bu da saldırganların, minimum WETH yatırımıyla neredeyse sınırsız miktarda fungible token basmasına imkân tanıdı. Ardından piyasa fiyatlarını neredeyse sıfıra kadar manipüle ederek havuzlardaki likiditeyi hızla boşalttılar ve alttaki NFT’leri geri aldılar.
Yuga Labs NFT kurtarma operasyonu neden kritik oldu?
Yuga Labs NFT kurtarma operasyonu, Yuga Labs, GrailsOTC ve Coffee hızlı hareket ettiği için başarılı oldu. Bazı varlıklar zaten usulsüz şekilde ele geçirilmiş olsa da, zamanında yapılan müdahale, olaya karışan blue-chip NFT’lerin önemli bir kısmının kurtarılmasını sağladı.
Yuga Labs’in blockchain lead’i 0xQuit, topluluğu uyardı: Flooring Protocol’e, kalıcı bir düzeltme gelene kadar yeni NFT yatırılmamalı. Yeni exploit riskinin ise yama çıkana kadar devam ettiğini belirtti.
NFT güvenliği için çıkarımlar
Bu olay, görünüşte oturmuş NFT altyapılarının bile ne kadar kırılgan olabildiğini bir kez daha gösteriyor; özellikle de fungible ve non-fungible tokenların karmaşık likidite havuzlarında karıştırıldığı durumlarda. Akıllı sözleşmeler, ownership mantıkları ve fiyat mekanizmalarının birleşimi, fark edilmesi zor ama çok hızlı şekilde istismar edilebilen açıklar yaratabiliyor.
Flooring Protocol güvenlik sorunlarına yabancı değil. Geçmişte de yaklaşık 1,5 milyon dolar değerinde NFT kaybına yol açan bir ihlal yaşamıştı. Baş geliştirici 0xFreeLunch, sözleşme tasarımındaki sorumluluğu kabul etti ve gaz tasarrufu için yapılan bitwise optimizasyonun, açığın denetimlerden saklanmasına neden olduğunu açıkladı.
Bu vaka, başka bir noktayı da güçlendiriyor: Bu tür varlıkları yöneten blockchain projeleri, akıllı sözleşme denetimine, güvenlik açığı yönetimine ve toplulukla açık iletişime daha fazla yatırım yapmak zorunda. Bu tür NFT koleksiyonları için güvenlik, teknik bir ayrıntı değildir. Değerin bir parçasıdır.
Flooring Protocol saldırısıyla ilgili SSS
Flooring Protocol’e ne tür bir exploit yapıldı?
Sorun, ownership packed mantığındaki ve token indekslemesindeki bir hatadan kaynaklanıyordu. Bu açık, saldırganların sahte bir mülkiyet oluşturmasına ve fpTokenları neredeyse sınırsız şekilde basmasına, böylece NFT likidite havuzlarını boşaltmasına imkân tanıdı.
Yuga Labs kaç NFT kurtardı ve bunların değeri neydi?
Yuga Labs, yüksek değere sahip 68 NFT kurtardı. Pakette Bored Apes, CryptoPunks, Azuki, Doodles ve Moonbirds bulunuyordu ve tahmini değeri 500.000 doların üzerindeydi.
Acil müdahalede Yuga Labs’e kimler yardım etti?
Yuga Labs NFT acil müdahalesine trading masası GrailsOTC ve güvenlik araştırmacısı Coffee katkıda bulundu. Michael Figge, katkılarını kamuoyuna açıkladı.
Şu anda Flooring Protocol’e NFT yatırmak güvenli mi?
Hayır. Kullanıcılar, güvenlik açığı kararlı bir yamayla düzeltilene kadar yeni NFT yatırmamaları konusunda uyarıldı.
Flooring Protocol’ün akıllı sözleşmesindeki güvenlik açığına ne sebep oldu?
Bildirilene göre açık, sözleşmenin ownership packed ve indekslemeyi ele alış biçiminden kaynaklanıyordu. Bu yapı, ghost ownership ve fpToken bakiyesinde underflow oluşmasını mümkün kıldı.
