Points clés à retenir :
Yuga Labs, le créateur du Bored Ape Yacht Club, a récupéré 68 NFT d'une valeur de plus de 570 000 $ lors d'une opération whitehat dimanche, après qu'une exploitation a frappé la plateforme de liquidité déchue Floor Protocol.
« L'objectif était de retirer les NFT exposés des pools Flooring vulnérables avant qu'un autre acteur malveillant ne puisse exploiter les mêmes chemins et les extraire en premier », a déclaré le vice-président pseudonyme de la blockchain chez Yuga Labs, 0xQuit, sur X.
Le butin récupéré comprend 29 Bored Apes, quatre Mutant Apes, un Bored Ape Kennel Club NFT, deux CryptoPunks, un Azuki, deux Elementals, 26 Captains, un Moonbird et deux Doodles, selon le PDG de Yuga Labs, Michael Figge. Le sauvetage a été mené par 0xQuit avec le soutien du chercheur en sécurité Coffee et l'assistance en liquidité de GrailsOTC, qui a aidé à fournir des fonds et des NFT pour déplacer les actifs exposés hors des pools vulnérables.
L'incident met en lumière les risques des protocoles de financiarisation des NFT, où des contrats intelligents complexes combinant propriété fractionnée, structures de coffre et mécanismes de rachat peuvent créer une exposition importante au niveau des actifs lorsque la garantie sous-jacente consiste en des NFT rares plutôt qu'en jetons fongibles.
Comment l'exploitation a fonctionné
Floor Protocol, qui est entré en mode coucher de soleil en septembre 2025, permettait aux utilisateurs de déposer des NFT dans des pools et de gagner des fpTokens fongibles pouvant être échangés ou brûlés pour racheter l'actif sous-jacent. L'attaquant a commencé avec une petite quantité d'Ether enveloppé et a abusé d'une faille dans la logique comptable compressée du protocole pour générer un solde fpToken quasi infini.
Selon 0xQuit, un identifiant de jeton créé de manière malveillante a créé un « état de propriété fantôme » où les vérifications de propriété réussissaient sous une lecture tandis que la comptabilité interne divergeait sous une autre. Deux sous-dépassements non vérifiés ont suivi, faisant grimper le solde de l'attaquant à un chiffre énorme, ce qui lui a permis de faire chuter les prix des fpToken vers zéro et de drainer les pools affectés.
L'architecte de Floor Protocol a déclaré qu'un code agressif au niveau des bits avait contribué à ce que la vulnérabilité ne soit pas détectée lors des examens de sécurité.
Pourquoi Yuga Labs est intervenu
Les chercheurs ont ensuite trouvé une deuxième voie d'attaque qui exposait des pools de plus grande valeur contenant des collections de NFT de premier ordre. Ces actifs avaient échappé à la première vague uniquement parce que leurs pools détenaient peu de liquidités. Les prix planchers des Bored Apes se situaient près de 9 ETH, soit environ 15 000 $, tandis que les CryptoPunks se maintenaient au-dessus de 32 ETH, soit environ 55 000 $, selon les données de CoinGecko.
À ces niveaux, les 29 Bored Apes à eux seuls valaient environ 441 000 $, la plus grande ligne unique du butin. L'exploitation a frappé pendant le week-end, lorsque moins d'équipes surveillent l'activité on-chain.
L'ancien PDG de Floor Protocol, FreeLunchCapital, a déclaré que le protocole était confronté à des problèmes de liquidité et à des changements organisationnels qui ont laissé certaines parties de la division NFT non gérées. FreeLunchCapital a déclaré avoir continué à fournir des liquidités et avoir conservé certains de ses propres actifs NFT sur la plateforme pour aider les utilisateurs à sortir de leurs positions, ajoutant que ces actifs sont devenus une cible principale lors de l'exploitation.
Contexte plus large du marché
Le marché des NFT s'est considérablement refroidi depuis le début de 2022, lorsque les Bored Apes se négociaient couramment au-dessus de 300 000 $ et que les volumes de ventes quotidiens pour les NFT Ethereum dépassaient 100 millions de dollars. En comparaison, le meilleur jour de volume de ventes en 2026 s'élève à 32,3 millions de dollars, selon les données de CryptoSlam. Malgré le déclin, les données de CoinGecko montrent que la capitalisation boursière globale des NFT s'élève à environ 1,4 milliard de dollars lundi.
Yuga Labs conserve le contrôle des actifs tout en travaillant avec les développeurs de Floor Protocol pour trouver une solution et restituer les NFT à leurs propriétaires légitimes. Le sauvetage renforce le rôle de Yuga Labs en tant que gardien des principaux écosystèmes NFT au-delà de ses propres collections, mais il met également en évidence à quel point l'infrastructure de liquidité des NFT est devenue interconnectée — et à quel point cette infrastructure reste fragile lorsqu'elle est placée au sein de protocoles financiers expérimentaux.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil en investissement.
