A Yuga Labs, empresa por trás das coleções Bored Ape Yacht Club e CryptoPunks, realizou em 8 de junho uma operação whitehat no Flooring Protocol. A companhia retirou 68 NFTs de alto valor de um exploit ativo. Segundo a empresa, os ativos recuperados somam mais de US$ 500 mil e ficarão sob custódia temporária da Yuga Labs até o Flooring Protocol implementar e validar uma correção técnica.

Michael Figge, CEO da Yuga Labs, afirmou que a ação terminou com sucesso. Ele também publicou a lista dos itens resgatados em comentário no X. Entre os ativos estavam 29 NFTs da coleção Bored Ape Yacht Club, quatro Mutant Apes, um token Bored Ape Kennel Club, dois CryptoPunks, um Azuki, dois Elementals, 26 Captains, um Moonbird e dois Doodles.

Além disso, Figge afirmou que 0xQuit, vice-presidente de blockchain da Yuga Labs, liderou a recuperação onchain. A operação contou com financiamento da GrailsOTC, mesa de negociação OTC da Yuga Labs. Segundo o executivo, a estrutura antecipou capital e NFTs para retirar os ativos em risco antes que outros agentes explorassem a mesma falha. Assim, a empresa espera devolver os 68 NFTs aos donos originais quando a solução técnica estiver confirmada.

Yuga agiu após identificar falha adicional

Exploit envolveu contabilidade e propriedade fantasma

Na análise técnica que publicou no X, 0xQuit explicou que o ataque explorou uma vulnerabilidade sofisticada na lógica de contabilidade do Flooring Protocol. Segundo ele, um invasor transformou uma quantidade ínfima de WETH em um saldo quase infinito de fpToken. Para isso, abusou de um caso extremo na forma como o protocolo registrava a propriedade dos tokens.

Como resultado, o atacante drenou pools do Flooring, enquanto um segundo oportunista comprou tokens de pools já esvaziados e os trocou pelos NFTs subjacentes. Ainda segundo o executivo, a falha mais profunda envolvia a lógica de empacotamento de dados de propriedade e indexação. Na prática, um token ID malicioso podia fazer as verificações de titularidade avançarem, ao passo que a contabilidade interna registrava outro resultado.

Em outras palavras, o sistema criava uma espécie de propriedade fantasma. Sem checagem suficiente, uma atualização de saldo provocava underflow aritmético. Em seguida, o invasor recebia um saldo muito superior ao devido. Dessa forma, os preços dos tokens podiam cair para perto de zero, permitindo a extração de liquidez dos pools.

Depois de revisar o vetor inicial do ataque, a equipe da Yuga Labs identificou uma segunda vulnerabilidade, mais ampla. Ela colocava em risco pools adicionais de NFTs ainda não atingidos. Foi essa descoberta que desencadeou a operação de emergência. Portanto, a empresa decidiu retirar todos os ativos expostos antes que outro agente encontrasse e explorasse esse segundo caminho de forma independente.

O preço do ETH registrava alta em prazos curtos no gráfico diário. Fonte: ETHUSD no TradingView.

Contratos do Flooring ainda mantinham ativos

Protocolo descontinuado expôs NFTs valiosos

O arquiteto do Flooring Protocol, conhecido como 0xFreeLunch, reconheceu em comentário no X que a vulnerabilidade teve origem em um desenho de código em nível de bits voltado à economia de gas. Segundo ele, esse tipo de otimização reduz custos computacionais ao condensar múltiplos valores em espaços de armazenamento compartilhados. Ainda assim, a falha não apareceu mesmo após várias revisões de segurança.

Esse ponto chama atenção porque o compromisso entre eficiência e segurança pode parecer sólido de forma isolada. No entanto, ele abre brechas relevantes quando IDs de tokens fogem dos intervalos esperados. No caso do Flooring Protocol, isso teria criado precisamente a superfície de ataque explorada no incidente.

O protocolo já vinha descontinuando seus serviços de NFT voltados ao consumidor desde setembro de 2025. Na época, a plataforma orientou detentores de tokens FPv2 a resgatar seus ativos e encerrar posições fracionadas antes de outubro daquele ano. Porém, os contratos inteligentes permaneceram ativos com ativos de usuários em custódia. Nesse sentido, o caso amplia o alerta sobre infraestruturas antigas de finanças descentralizadas.

0xQuit também alertou que alguns NFTs seguem sob controle do invasor. Ele recomendou que os usuários não depositem novos ativos no Flooring Protocol até a implementação de uma correção verificada. Entre os itens resgatados estavam dois CryptoPunks, que, de acordo com dados citados da CoinGecko, têm preço mínimo em torno de 32,7 ETH, equivalente a aproximadamente US$ 54.612 por token. Já os NFTs do Bored Ape Yacht Club eram negociados perto de 9,16 ETH no mercado de NFTs.

O episódio mostrou uma resposta incomum no setor. Em vez de apenas alertar o mercado, a Yuga Labs usou recursos próprios para retirar ativos de terceiros de um exploit em andamento. Ao mesmo tempo, o caso reforçou o risco persistente de contratos legados ainda ativos no ecossistema de criptomoedas, sobretudo quando mantêm ativos valiosos sob exposição. A Yuga Labs pretende devolver os 68 NFTs após o Flooring Protocol implementar e validar a correção; Figge creditou a execução técnica a 0xQuit.