Por Canuto Yuga Labs encabezó una operación de emergencia para recuperar 68 NFT valorados en más de USD $500.000 después de que una falla en Flooring Protocol dejara expuestas colecciones como Bored Ape, CryptoPunks y Mutant Ape Yacht Club.
***
- Yuga Labs recuperó 68 NFTs, entre ellos 29 Bored Apes, 2 CryptoPunks y 4 Mutant Apes, con un valor superior a USD $500.000.
- El exploit en Flooring Protocol habría aprovechado una falla contable que permitió acuñar un saldo casi infinito de fpTokens y drenar pools.
- Los activos rescatados quedaron bajo custodia temporal de Yuga mientras se define una solución para el protocolo y la devolución a sus dueños.
Yuga Labs encabezó una operación de rescate de “sombrero blanco” para recuperar 68 tokens no fungibles (NFT) valorados en más de USD $500.000, luego de que un hackeo en Flooring Protocol dejara expuestos activos de colecciones de alto perfil.
Entre los tokens no fungibles recuperados figuran 29 Bored Apes, 2 CryptoPunks y 4 Mutant Apes, que ahora permanecen bajo custodia temporal de la empresa mientras se resuelve la situación del protocolo.
El episodio afectó a Flooring Protocol, una plataforma de liquidez para NFTs en la que los usuarios bloquean sus activos y reciben a cambio fpTokens fungibles vinculados uno a uno con esos depósitos. Ese modelo busca aportar liquidez a un mercado normalmente ilíquido, pero también introduce riesgos técnicos cuando la lógica del sistema falla o no se supervisa con suficiente rigor.
Operación de rescate de NFT de sombrero blanco
De acuerdo con la información reportada por Yahoo Finance, el atacante comenzó con una pequeña cantidad de Wrapped Ether, o WETH, y aprovechó una falla en la lógica contable del protocolo para acuñar un saldo de fpTokens casi infinito. A partir de ahí, la maniobra permitió deprimir el precio de esos tokens hacia cero y vaciar las piscinas afectadas.
El vicepresidente de blockchain de Yuga, conocido como 0xQuit, explicó que un ID de token diseñado de forma maliciosa creó lo que describió como un estado de propiedad fantasma.
En ese escenario, las verificaciones de propiedad pasaban bajo una lectura, mientras que la contabilidad interna divergía bajo otra, una inconsistencia crítica para un sistema que depende de la correspondencia exacta entre NFTs depositados y fpTokens emitidos.
Según esa explicación, el exploit derivó luego en dos underflows no controlados, lo que hizo que el saldo del atacante se envolviera hasta una cifra enorme. Ese comportamiento permitió manipular la economía interna del protocolo y extraer valor de sus pools. En términos simples, el sistema perdió la capacidad de reflejar correctamente qué activos respaldaban los tokens emitidos y en qué cantidades.
En el ámbito DeFi, un underflow ocurre cuando una operación aritmética lleva un valor por debajo del mínimo permitido por el sistema, generando resultados inesperados si no existen controles adecuados. Aunque este tipo de errores es bien conocido en contratos inteligentes, su presencia sigue apareciendo en protocolos complejos o poco mantenidos, especialmente cuando el código fue optimizado para ahorrar gas y se vuelve más difícil de auditar.
Por qué Yuga decidió intervenir
Tras revisar el incidente, los investigadores detectaron una segunda ruta de ataque que comprometía pools de mayor valor, incluidas colecciones NFT de primer nivel. Esos activos no habían sido drenados durante la primera ola, no porque fueran seguros, sino porque las piscinas que los contenían mantenían poca liquidez y por eso habían escapado temporalmente del radar del atacante.
Ese hallazgo elevó de inmediato la urgencia de la respuesta. Las colecciones afectadas incluían algunas de las líneas más reconocidas del ecosistema Ethereum.
Al 8 de junio, los Bored Apes tenían precios piso cercanos a ETH 8,95, equivalentes a unos USD $15.121, mientras que los CryptoPunks se mantenían por encima de ETH 32, o alrededor de USD $55.248, según datos de CoinGecko citados en la cobertura original.
A esos niveles, los 29 Bored Apes rescatados representaban por sí solos cerca de USD $441.000, la porción individual más grande del botín recuperado. Esa estimación coincide con el total superior a USD $500.000 mencionado por 0xQuit para el conjunto de los 68 NFTs recuperados durante la operación defensiva.
El contexto operativo también jugó un papel importante. El exploit ocurrió durante el fin de semana, un periodo en el que menos equipos suelen monitorear actividad on-chain de forma constante. Además, Flooring Protocol había entrado en modo de puesta de sol el año anterior, y su división de NFTs permanecía en gran medida sin gestión activa, lo que amplificó la vulnerabilidad ante un ataque sofisticado.
Frente a ese panorama, el CEO Michael Figge dijo que instruyó a la mesa de GrailsOTC para aportar dinero y NFTs destinados al rescate. El equipo desplegó entonces un contrato que aprovechó la misma clase de fallas, pero de forma defensiva, en una estrategia que recuerda a anteriores operaciones white-hat también llamadas sombrero blanco en el sector DeFi, donde desarrolladores o aliados intervienen antes que el atacante para poner a salvo los fondos.
Yuga, empresa que además adquirió la colección CryptoPunks, presentó la medida como una custodia temporal orientada a devolver los activos a sus propietarios cuando el protocolo pueda corregirse. Esa aclaración busca distinguir la intervención de una toma unilateral de fondos, algo especialmente sensible en un entorno donde la propiedad digital y la autocustodia son principios centrales.
La falla, las responsabilidades y la sospecha de uso de IA
El arquitecto original del protocolo, que publica bajo el seudónimo 0xFreeLunch, asumió la responsabilidad por lo ocurrido. Según su explicación, el problema habría quedado oculto para los auditores debido a un código optimizado para gas, una práctica habitual en Ethereum para abaratar costos, pero que en ocasiones complica la legibilidad y la revisión de seguridad.
Ese mismo arquitecto también se mantenía como proveedor de liquidez dentro de Flooring Protocol y, según la información disponible, perdió sus propios activos durante el ataque. El dato no reduce la gravedad del error, pero sí ilustra cómo las fallas de diseño en contratos inteligentes pueden terminar golpeando tanto a usuarios como a desarrolladores o participantes cercanos al proyecto.
Otro elemento que llamó la atención fue la complejidad técnica del exploit. 0xFreeLunch dijo sospechar que el atacante pudo haberse apoyado en herramientas avanzadas de inteligencia artificial. La nota no aporta pruebas concluyentes sobre ese punto, pero la observación refleja una preocupación creciente en el sector: la posibilidad de que sistemas de IA aceleren el descubrimiento o la explotación de vulnerabilidades complejas.
Hasta ahora, no se ha confirmado la identidad del atacante ni la totalidad de los activos comprometidos. De hecho, los explotadores aún conservan otros NFTs robados, por lo que el caso sigue abierto. Esto significa que la operación de Yuga contuvo una parte importante del daño, pero no cerró completamente el frente de pérdidas para los afectados.
Qué sigue para Flooring Protocol y para los usuarios
Mientras continúa la investigación, 0xQuit pidió a los tenedores mantenerse alejados de la plataforma. Su advertencia fue directa: es importante no depositar más NFTs en Flooring Protocol, ya que esos activos podrían volverse vulnerables de inmediato. Ese llamado subraya que el riesgo no pertenece solo al pasado del exploit, sino que podría persistir mientras la infraestructura siga expuesta.
Para quienes siguen de cerca el mercado NFT, el caso funciona como un recordatorio de que la liquidez adicional ofrecida por ciertos protocolos suele venir acompañada de nuevas superficies de ataque. Convertir NFTs en instrumentos más líquidos puede mejorar la eficiencia del mercado, pero también añade capas de ingeniería financiera y técnica que deben ser auditadas y mantenidas con extremo cuidado.
Flooring Protocol enfrenta ahora decisiones habituales en el mundo DeFi después de un exploit: si relanzará contratos, cómo manejará la compensación a los usuarios afectados y bajo qué condiciones podría intentar reconstruir confianza. Cada uno de esos pasos tiene implicaciones legales, reputacionales y financieras, sobre todo cuando las colecciones comprometidas son de primer nivel y concentran atención pública.
En paralelo, la intervención de Yuga reabre el debate sobre el papel de actores privados con capacidad técnica y financiera para ejecutar rescates de emergencia. Estas acciones pueden evitar pérdidas mayores, pero también dependen de una coordinación rápida, de incentivos alineados y de un entendimiento preciso del exploit. No todos los protocolos cuentan con aliados de ese tamaño cuando ocurre una crisis.
Por ahora, la prioridad inmediata parece clara: evitar nuevos depósitos, preservar los activos ya recuperados y definir una ruta para devolverlos a sus dueños una vez que exista una solución técnica confiable. El incidente deja una advertencia dura para el sector NFT y DeFi: incluso colecciones de gran prestigio pueden quedar atrapadas por fallas silenciosas en la infraestructura que las rodea.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Regulación
Reino Unido da 3 meses a Apple y Google para bloquear desnudos en teléfonos de menores
Ethereum
MetaMask lanza Agent Wallet con IA para trading DeFi en más de 25 cadenas
IA
Meta admite hackeo de más de 20.000 cuentas de Instagram por falla en herramienta de IA
Criptomonedas