Un reciente Exploit ha afectado a Flooring Protocol, con un resultado perjudicial para las colecciones Bored Ape y Pudgy Penguins. El resultado ha sido el robo de una variedad de estos NFT y su posterior almacenamiento en una billetera vinculada a una estafa tipo phishing.
Recordemos que este protocolo NFT tiene u ofrece la capacidad de convertir tokens en derivados negociables destinados a represenar partes fraccionarias de NFT. El reciente ataque puede tener su origen en una mala actualización.
flooring contract has been upgraded, immediate risk seems to be over
managed to whitehat 1 azuki
— foobar (@0xfoobar) December 17, 2023
Un fundador del mercado NFT Delegate, conocido en línea como “foobar”, la vulnerabilidad que permitió el exploit fue introducida por una reciente y dañina actualización del contrato que se hizo hace pocos días.
La billetera “0x4d0D746E0F66bf825418E6b3deF1a46Ec3c0B847” ha sido identificada como la almacenadora de los Bored Apes y Pudgy Penguins robados. La misma ha sido reportada por “foobar” para su uso en una estafa de phishing en etherscan.
Te puede interesar: Ledger Advierte a sus Usuarios no Usar Dapps
Floor Protocol ha fallado en las auditorias de su sitio web
Flooring Lab, la empresa detrás de Flooring Protocol, afirma en su web que se están esforzando por “mantener los más altos estándares, ya sea en términos de experiencia del usuario, seguridad y protección de activos”.
Since we are aping together so strong, can I get my stolen BAYC #3894 back that you own @FLC_FlooringLab?
Hopefully @BoredApeYC can help me get my forever ape back from @floorprotocol. I haven’t heard anything from @mwseibel or @ycombinator since my wallet was drained in their… https://t.co/PbzUkpx2kd
— MELKNEE.ETH/LENS (Melanie) (@Melknee) December 18, 2023
Sin embargo, ese compromiso no parece estarse cumpliendo, pues la actualización más reciente que introdujo esta vulnerabilidad no parece haber sido auditada. Por otro lado, la auditoría de Halborn que aparece en el sitio web de Flooring Lab tiene fecha del 8 de septiembre de 2023, mientras que la auditoría de OtterSec tiene fecha del 4 de octubre.
De igual manera hay otros errores que llaman la atención, por ejemplo, el repositorio “smart_contract” que OtterSec auditó ahora devuelve un error 404. Los únicos repositorios que figuran en GitHub de Flooring Lab contienen logotipos y archivos de configuración para el sitio web.
Too many hacks this week lol
Ledger was friday
NFTTrader & Floor Protocol were sat— foobar (@0xfoobar) December 18, 2023
Cabe destacar que este exploit de Flooring Protocol se produce días después de un importante hackeo de NFT Trader. Hace pocas horas, uno de los miembros del equipo de Flooring Lab anunció que se había implementado una solución que “creen que solucionó el problema”. Aun así, el exploit permitió el robo de decenas de NFT de alto valor.
