Puntos clave:
Yuga Labs, el creador de Bored Ape Yacht Club, recuperó 68 NFT valorados en más de $570,000 en una operación de sombrero blanco el domingo, después de que un exploit afectara a la plataforma de liquidez Floor Protocol, ya en desuso.
"El objetivo era retirar los NFT expuestos de los pools vulnerables de Flooring antes de que otro actor malicioso pudiera explotar las mismas rutas y extraerlos primero", señaló en X el seudónimo vicepresidente de Blockchain de Yuga Labs, 0xQuit.
El botín recuperado incluye 29 Bored Apes, cuatro Mutant Apes, un NFT de Bored Ape Kennel Club, dos CryptoPunks, un Azuki, dos Elementals, 26 Captains, un Moonbird y dos Doodles, según el CEO de Yuga Labs, Michael Figge. El rescate fue liderado por 0xQuit con el apoyo del investigador de seguridad Coffee y asistencia de liquidez de GrailsOTC, que ayudó a proporcionar fondos y NFT para mover los activos expuestos fuera de los pools vulnerables.
El incidente subraya los riesgos de los protocolos de financiarización de NFT, donde los contratos inteligentes complejos que combinan propiedad fraccionada, estructuras de bóveda y mecanismos de rescate pueden generar una gran exposición a nivel de activos cuando la garantía subyacente consiste en NFT raros en lugar de tokens fungibles.
Cómo funcionó el exploit
Floor Protocol, que entró en modo de cierre en septiembre de 2025, permitía a los usuarios depositar NFT en pools y ganar fpTokens fungibles que podían negociarse o quemarse para canjear el activo subyacente. El atacante comenzó con una pequeña cantidad de Ether envuelto y aprovechó una falla en la lógica contable empaquetada del protocolo para acuñar un saldo de fpToken casi infinito.
Según 0xQuit, un ID de token manipulado maliciosamente creó un "estado de propiedad fantasma" donde las verificaciones de propiedad se superaban bajo una lectura, mientras que la contabilidad interna divergía bajo otra. Dos desbordamientos negativos no verificados hicieron que el saldo del atacante alcanzara una cifra enorme, lo que le permitió desplomar los precios de fpToken hacia cero y drenar los pools afectados.
El arquitecto de Floor Protocol indicó que el código agresivo a nivel de bits contribuyó a que la vulnerabilidad pasara desapercibida durante las revisiones de seguridad.
Por qué intervino Yuga Labs
Los investigadores encontraron entonces una segunda vía de ataque que exponía pools de mayor valor que contenían colecciones de NFT de primer nivel. Esos activos habían escapado a la primera ola solo porque sus pools tenían poca liquidez. Los precios mínimos de Bored Ape se situaban cerca de 9 ETH, unos $15,000, mientras que los CryptoPunks se mantenían por encima de 32 ETH, aproximadamente $55,000, según datos de CoinGecko.
A esos niveles, solo los 29 Bored Apes valían unos $441,000, la partida individual más grande del botín. El exploit ocurrió durante el fin de semana, cuando menos equipos monitorean la actividad en cadena.
El ex CEO de Floor Protocol, FreeLunchCapital, señaló que el protocolo enfrentó problemas de liquidez y cambios organizativos que dejaron partes de la división de NFT sin gestión. FreeLunchCapital dijo que había seguido proporcionando liquidez y manteniendo algunos de sus propios activos NFT en la plataforma para ayudar a los usuarios a salir de sus posiciones, y añadió que esos activos se convirtieron en un objetivo principal durante el exploit.
Contexto más amplio del mercado
El mercado de NFT se ha enfriado considerablemente desde principios de 2022, cuando los Bored Apes se negociaban rutinariamente por encima de los $300,000 y los volúmenes diarios de ventas de NFT en Ethereum superaban los $100 millones. En comparación, el día de mayor volumen de ventas en 2026 se sitúa en $32.3 millones, según datos de CryptoSlam. A pesar del declive, los datos de CoinGecko mostraban una capitalización total del mercado de NFT de aproximadamente $1.4 mil millones al lunes.
Yuga Labs mantiene el control de los activos mientras trabaja con los desarrolladores de Floor Protocol para encontrar una solución y devolver los NFT a sus legítimos propietarios. El rescate refuerza el papel de Yuga Labs como custodio de los principales ecosistemas de NFT más allá de sus propias colecciones, pero también pone de relieve cuán interconectada se ha vuelto la infraestructura de liquidez de NFT — y cuán frágil sigue siendo esa infraestructura cuando se coloca dentro de protocolos financieros experimentales.
Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.
