¡Yuga Labs aprovecha mega hackeo millonario para salvar NFTs que valen una fortuna!

Una empresa de tecnología bien pilas, Yuga Labs, hizo un rescate de película para recuperar 68 NFTs que valen más de medio millón de dólares. ¿La bronca? Una falla bien gacha en la plataforma DeFi Flooring Protocol dejó a varias piezas de colecciones súper famosas en el ecosistema Ethereum súper expuestas.

Entre los NFTs recuperados están 29 Bored Apes, dos CryptoPunks y cuatro Mutant Apes. Por mientras, esos tesoros están bajo el cuidado de Yuga Labs mientras le echan cabeza para arreglar el problema en el protocolo afectado.

La bronca empezó en Flooring Protocol, que era una plataforma para darle más movimiento al mercado NFT. La idea era que la banda bloqueara sus NFTs y recibiera fpTokens a cambio, un tipo de ficha que representa esos NFTs y se puede cambiar con más facilidad. Así se podía fraccionar el valor y ponerle fluidez a un mercado que normalmente está medio dormido porque no hay muchos compradores o porque las colecciones están carísimas. Pero, como en toda jugada, si algo sale mal en la base, se arma el desmadre.

El ataque empezó con apenas un poco de wrapped ether (WETH). El hacker encontró un bug en la contabilidad interna que le permitió crear una cantidad casi ilimitada de fpTokens, bajó su precio y acabó con varias reservas de liquidez.

El vice de Yuga, que en internet se llama 0xQuit, dijo que la falla vino de un identificador de token manipulado que creó algo así como una “propiedad fantasma”. La checada externa de propiedad funcionaba bien, pero adentro el sistema tenía información distinta. Eso fue clave para que el sistema se fuera pa’ atrás, porque debe haber un match exacto entre los NFTs y los tokens emitidos.

Para colmo, la cosa se puso más fea porque el bug también tenía dos errores tipo underflow, que es cuando una operación da resultados bien raros y rompe el sistema. Así, el atacante infló su saldo y pudo sacar lana de las reservas de liquidez.

Después de checar todo, los investigadores se dieron cuenta de que había otra puerta abierta para atacar NFTs aún más valiosos, de colecciones muy top. Pero por suerte, esos no recibieron el golpe en la primera ronda, porque estaban en reservas más tranquilas y no entraron en el radar del atacante.

Yuga Labs no se quedó de brazos cruzados y se lanzó al rescate rápido. El CEO, Michael Figge, contó que juntaron billetes a través de GrailsOTC para fincar una defensa brutal. El equipo montó un contrato que usó la misma falla del atacante, pero para proteger esos NFTs antes de que se robaran más. En el mundo de la seguridad, esto se llama un movimiento “sombrero blanco” o white-hat.

Para acabarla de amolar, el ataque pasó justo en fin de semana, cuando casi nadie está checando las movidas en la blockchain, y además, Flooring Protocol ya estaba en modo “poco activo” porque estaban cerrando chavos desde el año pasado, con un equipo más reducido para el área NFT. Eso dejó el camino más libre para el golpe bien refinado.

Yuga Labs asegura que van a regresar los NFTs a sus dueños, pero hasta que encuentren una solución segura. Esto es importante, porque no se trata de que Yuga haya agarrado los activos para ellos, sino de cuidar a la banda que confía en ellos.

El creador original de Flooring Protocol, que se llama 0xFreeLunch en la red, aceptó que la falla se les pasó de largo durante las auditorías. El código estaba tan optimizado para gastar menos gas que hicieron difícil detectar el bug. Además, él mismo perdió parte de sus NFTs en el ataque y piensa que quizá el que hizo el desmadre usó inteligencia artificial para hallar o explotar la falla, aunque aún no hay pruebas de eso.

Hasta ahora nadie sabe quién es el responsable y aún faltan NFTs por recuperar, así que el caso sigue abierto. Este golpe nos recuerda que en el mundo NFT, hasta las colecciones más rifadas pueden estar en peligro por fallas escondidas en la tecnología que las sostiene. ¡Así que pilas con lo que compran y dónde lo guardan!