Yuga Labs completó la operación de rescate de NFT de Yuga Labs el 8 de junio, después de un exploit que afectó a Flooring Protocol y puso en riesgo activos digitales de alto valor. La intervención de emergencia permitió asegurar 68 NFT, entre ellos Bored Apes, CryptoPunks, Azuki, Doodles y Moonbirds, por un valor estimado superior a 500.000 dólares.
Los tokens recuperados están ahora bajo custodia de Yuga Labs y serán devueltos a sus propietarios solo después de la publicación de un parche correctivo por parte del equipo de Flooring Protocol. Mientras tanto, se ha invitado a los usuarios a no depositar nuevos NFT en la plataforma hasta que la vulnerabilidad sea resuelta. Se trata de un nuevo ataque a Flooring Protocol NFT que vuelve a poner en el centro el tema de la seguridad en las infraestructuras NFT.
Summary
Operación de emergencia y NFT recuperados
La colección recuperada incluye 29 Bored Apes, 4 Mutant Apes, 1 BAKC, 2 CryptoPunks, 1 Azuki, 2 Elementals, 26 Captains, 1 Moonbird y 2 Doodles. Estos activos habían terminado en pools de liquidez NFT gestionados por Flooring Protocol, una aplicación que permite bloquear NFT a cambio de tokens fungibles llamados fpTokens.
Michael Figge, CEO de Yuga Labs, confirmó el resultado positivo de la operación de whitehat rescue. También subrayó el papel del trading desk interno GrailsOTC y del investigador de seguridad Coffee, que ayudaron a mover rápidamente los tokens fuera del alcance de los atacantes.
Cómo funcionó el exploit en Flooring Protocol
En la base del ataque había un bug en la lógica de ownership packed y en la indexación de los tokens. En la práctica, un ID de token malicioso podía superar los controles de propiedad aun mostrando un contador incoherente. Esto creaba una ghost ownership, es decir, una falsa propiedad invisible a los controles ordinarios.
A partir de ahí se generó un underflow en el balance de los fpTokens, que permitió a los atacantes acuñar cantidades casi ilimitadas de tokens fungibles partiendo de un depósito mínimo de WETH. Posteriormente manipularon los precios de mercado casi hasta cero, drenando rápidamente la liquidez de los pools y rescatando los NFT subyacentes.
Por qué la operación de rescate de NFT de Yuga Labs fue decisiva
La operación de rescate de NFT de Yuga Labs funcionó porque Yuga Labs, GrailsOTC y Coffee actuaron con rapidez. Aunque algunos activos ya habían sido sustraídos de forma indebida, la intervención oportuna permitió recuperar una parte significativa de los NFT blue-chip implicados.
El blockchain lead de Yuga Labs, 0xQuit, advirtió a la comunidad: ningún nuevo NFT debería ser depositado en Flooring Protocol hasta que llegue una corrección estable. El riesgo de nuevos exploits, de hecho, sigue abierto hasta el parche.
Las implicaciones para la seguridad NFT
Este episodio muestra una vez más lo frágiles que son incluso las infraestructuras NFT aparentemente consolidadas, sobre todo cuando mezclan tokens fungibles y no fungibles en pools de liquidez complejos. La combinación entre smart contracts, lógicas de propiedad y mecanismos de precio puede crear fallos difíciles de ver y muy rápidos de explotar.
Flooring Protocol no es nuevo en problemas de seguridad. En el pasado ya había registrado un breach con pérdidas de alrededor de 1,5 millones de dólares en NFT. El desarrollador jefe 0xFreeLunch admitió la responsabilidad en el diseño del contrato y explicó que la optimización bitwise para ahorrar gas ocultó la falla a los controles.
El caso refuerza también otro punto: los proyectos blockchain que gestionan activos de este tipo deben invertir más en la verificación de los contratos inteligentes, en la gestión de vulnerabilidades y en una comunicación clara con la comunidad. Para colecciones NFT como estas, la seguridad no es un detalle técnico. Es parte del valor.
FAQ sobre el ataque a Flooring Protocol
¿Qué tipo de exploit afectó a Flooring Protocol?
El problema surgía de un bug en la lógica de ownership packed y en la indexación de los tokens. La falla permitió a los atacantes crear una falsa propiedad y acuñar casi sin límites los fpTokens, vaciando los pools de liquidez NFT.
¿Cuántos NFT recuperó Yuga Labs y qué valor tenían?
Yuga Labs recuperó 68 NFT de alto valor. El paquete incluía Bored Apes, CryptoPunks, Azuki, Doodles y Moonbirds, con un valor estimado superior a 500.000 dólares.
¿Quién ayudó a Yuga Labs en la intervención de emergencia?
En la intervención de emergencia de NFT de Yuga Labs colaboraron el trading desk GrailsOTC y el investigador de seguridad Coffee. Michael Figge confirmó públicamente su contribución.
¿Es seguro depositar NFT en Flooring Protocol ahora?
No. Se ha advertido a los usuarios que no depositen nuevos NFT hasta que la vulnerabilidad sea corregida con un parche estable.
¿Qué causó la vulnerabilidad en el smart contract de Flooring Protocol?
Según lo informado, la falla deriva de la forma en que el contrato gestionaba ownership packed e indexación. Esta estructura hizo posible la ghost ownership y el underflow del balance de fpTokens.
