3
Der Flooring Protocol-Exploit vom 8. Juni erlebte heute eine Fortsetzung, als Asterix, ein Fork der $NFT-Liquiditätsplattform, Opfer eines Exploits wurde, der Vermögenswerte im Wert von rund 40.000 US-Dollar abschöpfte.
Die Nachricht über den Exploit trübt die Stimmung, nachdem White-Hat-Forscher berichtet hatten, dass sie geholfen hatten, mehr als 500.000 US-Dollar an Blue-Chip-NFTs aus derselben Flooring-traczurückzuerlangen, die offenbar auch zum Einbruch in Asterisk verwendet wurde.
Die Sicherheitslücke des Flooring-Protokolls verbreitete sich über abgegriffenen Code auf Asterisk
Phalcon, ein Mitglied des Blockchain-Sicherheitsunternehmens BlockSec, war einer der Ersten, dem die Ähnlichkeiten zwischen dem Asterix-Angriffsvektor und der Schwachstelle auffielen, die es Angreifern am 8. Juni ermöglichte, die Pools des Flooring Protocol zu leeren.
Phalcon sagte, der Flooring Protocol-Angriff sei im Wesentlichen ein Rückgriff auf Asterix gewesen, da letzteres offenbar von DN404/BT404 abgeleitet wurde, einem Token-Standard, der fungible und nicht-fungible Mechanismen vermischt.
Erste Berichte über den Vorfall mit dem Bodenbelagdent von einem Schaden von über 900.000 US-Dollar, bevor durch Interventionen von White Hats rund 500.000 US-Dollar wiedererlangt werden konnten.
Asterix hat den Vorfall bereits in einer Stellungnahmeund eingeräumt, dass gegen 4 Uhr morgens GMT+8 eine Sicherheitslücke im $ASTX-Token-Kontrakt ausgenutzt wurdetracDas Team gab an, den Vorfall zu untersuchen und nach Abschluss der Analyse einen ausführlichen Bericht zu veröffentlichen.
Wie konnte der Flooring-Exploit ausgenutzt werden?
Flooring Protocol, das im vergangenen Jahr seinen Betrieb einstellte, ermöglichte es Benutzern, NFTs in Pools einzuzahlen und dafür fungible Token zu erhalten, die eins zu eins an diese gesperrten Vermögenswerte gekoppelt waren.
Der Flooring Protocol-Angriff, der sich seitdem auszubreiten begann, nutzte eine Schwachstelle im BT404-artigen Buchhaltungssystem der Plattform aus, die Yuga Labs VP of Blockchain als ein „Geistereigentums“-Phänomen auf X.
Vereinfacht ausgedrückt bedeutet dies, dass jemand eine manipulierte Token-ID verwenden könnte, um eine Eigentumsprüfung zu bestehen und sie dann in einer anderen Buchhaltungslogik wiederzuverwenden, um ein anderes Ergebnis zu erzielen, was zu einemmaticProblem im Token-Saldo führt.
In diesem Fall schuf der Angreifer einen nahezu unendlichen Bestand an fpTokens, den fungiblen Token, mit denen jeder NFTs beanspruchen kann, die in den Pools von Flooring gesperrt sind.
Yuga Labs verstärkt seine Bemühungen um weiße Hüte
Nachdem der Flooring-Drain öffentlich wurde, sagte Michael Figge, CEO von Yuga Labs, dass das Unternehmen schnell eine White-Hat-Rettungsaktion gestartet habe, bevor ein weiterer Angreifer Zugriff auf die anfälligen NFTs erlangen konnte.
Bei der $NFT-Rettungsaktion wurden 68 NFTs im geschätzten Wert von 346 ETH (damals etwa 570.000 US-Dollar) gesichert, darunter 29 Bored Ape Yacht Club NFTs, vier Mutant Apes, zwei CryptoPunks, ein Azuki, zwei Elementals, 26 Captains, ein Moonbird und zwei Doodles.
Super Secret Rare (SSR), ein Projekt, das seine Sicherheitslücke erst nach dem Angriff auf Asterisk entdeckte, warnte die Benutzer davor, mit dem Pool zu interagieren, solange die Situation ungelöst blieb.
FreeLunchCapital, der Entwickler der betroffenen Flooring-trac, bestätigte, dass auch BitmapPunks von der Sicherheitslücke betroffen war, da beide Projekte ein ähnlichestracverwendeten. Beide Projekte basierten auf fungiblen Token, die eins zu eins an gesperrte NFTs gekoppelt waren, wodurch sie für denselben Angriffsweg anfällig wurden.
Ein Raubzug nach dem anderen
Die Vorfälle bei Flooring und Asterixdentin eine verheerende Serie von Sicherheitslücken , die Web3 heimsuchen. Wie Cryptopolitan bereits berichtete, führten dietronDollarverluste im April im Mai zu einer noch größeren Anzahl einzelner Vorfälledentwurden 60 Sicherheitsvorfälle mit einem Bruttoverlust von insgesamt 68,3 Millionen US-Dollar bestätigtdentPeckShield verzeichnete zum 1. Juni Verluste in Höhe von 340,7 Millionen US-Dollar durch 14 Bridge- und Cross-Chain-Exploits.
Abgespaltene Protokolle bergen ihre eigenen Probleme. Wenn nachgelagerte Projekte Code kopieren, ohne ihn zu prüfen, kann eine einzelne Schwachstelle im Basiscode über mehrere Ebenen repliziert werden, wie es aktuell im Fall Flooring/Asterix geschehen ist.
Yuga Labs gab bekannt, dass die geretteten NFTs zurückgegeben werden, sobald die Entwickler des Flooring-Protokolls einen Patch bereitgestellt haben. 0xQuit warnte Nutzer davor, neue NFTs in Flooring einzuzahlen, solange die Sicherheitslücke besteht. Für Asterix-Inhaber ist der Verlust von 40.000 US-Dollar zwar geringer, das Team hat jedoch noch nicht mitgeteilt, ob eine Wiederherstellung möglich ist.
