Компания Yuga Labs экстренно спасла 68 токенов NFT из коллекций Bored Ape Yacht Club, Mutant Ape Yacht Club, CryptoPunks, Azuki, Moonbirds и Doodles, которые оказались под угрозой после эксплойта протокола дробной ликвидности Flooring Protocol.
Инцидент произошёл 8 июня 2026 года. Злоумышленник воспользовался уязвимостью в логике учёта и «упакованных» прав собственности, что позволило создать почти неограниченное количество токенов fpToken из ничтожного количества WETH и вывести из пулов ликвидности реальные NFT. По словам ведущего блокчейн-специалиста Yuga Labs, известного как 0xQuit, вредоносный идентификатор токена позволял пройти проверку владельца, в то время как бухгалтерская функция показывала иной результат (эффект «призрачного владения»), а неконтролируемое обновление баланса вызывало переполнение и давало атакующему огромный баланс, который обрушивал цены токенов почти до нуля.
Операция была проведена при поддержке исследователя безопасности Coffee и проекта GrailsOTC, который предоставил средства и NFT для оперативного вывода залоговых активов из уязвимых контрактов. Среди спасённых объектов — 29 Bored Apes, 4 Mutant Apes, 1 BAKC, 2 CryptoPunks, 1 Azuki, 2 Elementals, 26 Captains, 1 Moonbird и 2 Doodles. По оценкам 0xQuit, стоимость изъятых NFT превышает $500 000, однако полной ликвидации угрозы не произошло: часть активов всё ещё находится у атакующих.
Архитектор Flooring Protocol, известный под ником 0xFreeLunch, признал, что проблема затронула версию V2 и проект BitmapPunks, и сообщил, что «агрессивная оптимизация кода на уровне битовых операций» позволила уязвимости остаться незамеченной при нескольких раундах аудита безопасности. Разработчики предупредили пользователей о недопустимости внесения новых NFT в протокол до выхода исправления. Предыдущий эксплойт Flooring Protocol привёл к потерям около $1,5 млн.
Yuga Labs пообещала вернуть все спасённые активы владельцам после устранения уязвимости. Инцидент вновь поднимает вопросы о безопасности DeFi-протоколов, работающих с невзаимозаменяемыми токенами, и демонстрирует растущую роль white-hat-вмешательств в криптоиндустрии.
