Yuga Labs a mené à bien l’opération de sauvetage NFT Yuga Labs le 8 juin, après un exploit qui a touché Flooring Protocol et mis en danger des actifs numériques de grande valeur. L’intervention d’urgence a permis de sécuriser 68 NFT, dont Bored Apes, CryptoPunks, Azuki, Doodles et Moonbirds, pour une valeur estimée à plus de 500 000 dollars.
Les tokens récupérés sont désormais en garde chez Yuga Labs et seront restitués aux propriétaires uniquement après la publication d’un correctif par l’équipe de Flooring Protocol. Entre-temps, les utilisateurs ont été invités à ne pas déposer de nouveaux NFT sur la plateforme tant que la vulnérabilité ne sera pas résolue. Il s’agit d’un nouvel attaque Flooring Protocol NFT qui remet au centre la question de la sécurité des infrastructures NFT.
Summary
Opération d’urgence et NFT récupérés
La collection récupérée comprend 29 Bored Apes, 4 Mutant Apes, 1 BAKC, 2 CryptoPunks, 1 Azuki, 2 Elementals, 26 Captains, 1 Moonbird et 2 Doodles. Ces actifs avaient été placés dans des pools de liquidité NFT gérés par Flooring Protocol, une application qui permet de bloquer des NFT en échange de tokens fongibles appelés fpTokens.
Michael Figge, CEO de Yuga Labs, a confirmé l’issue positive de l’opération de whitehat rescue. Il a également souligné le rôle du trading desk interne GrailsOTC et du chercheur en sécurité Coffee, qui ont aidé à déplacer rapidement les tokens hors de portée des attaquants.
Comment l’exploit sur Flooring Protocol a-t-il fonctionné
À la base de l’attaque se trouvait un bug dans la logique d’ownership packed et dans l’indexation des tokens. En pratique, un ID de token malveillant pouvait passer les contrôles de propriété tout en affichant un compteur incohérent. Cela créait une ghost ownership, c’est-à-dire une fausse propriété invisible aux contrôles ordinaires.
De là est né un underflow dans le solde des fpTokens, qui a permis aux agresseurs de frapper des quantités presque illimitées de tokens fongibles à partir d’un dépôt minimal de WETH. Ils ont ensuite manipulé les prix de marché jusqu’à presque zéro, vidant rapidement la liquidité des pools et rachetant les NFT sous-jacents.
Pourquoi l’opération de sauvetage NFT Yuga Labs a été décisive
L’opération de sauvetage NFT Yuga Labs a fonctionné parce que Yuga Labs, GrailsOTC et Coffee ont agi rapidement. Même si certains actifs avaient déjà été détournés de manière indue, l’intervention rapide a permis de récupérer une partie significative des NFT blue-chip concernés.
Le responsable blockchain de Yuga Labs, 0xQuit, a averti la communauté : aucun nouveau NFT ne devrait être déposé sur Flooring Protocol tant qu’un correctif stable n’aura pas été déployé. Le risque de nouveaux exploits, en effet, reste ouvert jusqu’au patch.
Les implications pour la sécurité des NFT
Ce nouvel épisode montre une fois de plus à quel point sont fragiles même les infrastructures NFT apparemment consolidées, surtout lorsqu’elles mélangent tokens fongibles et non fongibles dans des pools de liquidité complexes. La combinaison entre smart contracts, logiques de propriété et mécanismes de prix peut créer des failles difficiles à voir et très rapides à exploiter.
Flooring Protocol n’en est pas à ses premiers problèmes de sécurité. Par le passé, il avait déjà enregistré une brèche avec des pertes d’environ 1,5 million de dollars en NFT. Le développeur principal 0xFreeLunch a reconnu sa responsabilité dans le design du contrat et a expliqué que l’optimisation bitwise pour économiser du gas avait dissimulé la faille aux contrôles.
Le cas renforce également un autre point : les projets blockchain qui gèrent ce type d’actifs doivent investir davantage dans la vérification des contrats intelligents, dans la gestion des vulnérabilités et dans une communication claire avec la communauté. Pour des collections NFT comme celles-ci, la sécurité n’est pas un détail technique. C’est une partie de la valeur.
FAQ sur l’attaque contre Flooring Protocol
Quel type d’exploit a touché Flooring Protocol ?
Le problème provenait d’un bug dans la logique d’ownership packed et dans l’indexation des tokens. La faille a permis aux agresseurs de créer une fausse propriété et de frapper presque sans limites les fpTokens, en vidant les pools de liquidité NFT.
Combien de NFT Yuga Labs a-t-il récupérés et quelle était leur valeur ?
Yuga Labs a récupéré 68 NFT de grande valeur. Le lot incluait Bored Apes, CryptoPunks, Azuki, Doodles et Moonbirds, pour une valeur estimée à plus de 500 000 dollars.
Qui a aidé Yuga Labs dans l’intervention d’urgence ?
À l’intervention d’urgence NFT Yuga Labs ont collaboré le trading desk GrailsOTC et le chercheur en sécurité Coffee. Michael Figge a confirmé publiquement leur contribution.
Est-il sûr de déposer des NFT sur Flooring Protocol maintenant ?
Non. Les utilisateurs ont été avertis de ne pas déposer de nouveaux NFT tant que la vulnérabilité n’aura pas été corrigée avec un patch stable.
Qu’est-ce qui a causé la vulnérabilité dans le smart contract de Flooring Protocol ?
Selon les informations rapportées, la faille provient de la manière dont le contrat gérait l’ownership packed et l’indexation. Cette structure a rendu possible la ghost ownership et l’underflow du solde des fpTokens.
