Yuga Labs a annoncé le 8 juin avoir mené une opération whitehat qui a permis de reprendre le contrôle de 68 NFT exposés par une faille du protocole de fractionnement Flooring, dont 29 Bored Apes et 2 CryptoPunks, selon un message publié par son directeur général, Michael Figge, sur X.
L’intervention illustre la fragilité persistante de l’infrastructure NFT, quatre ans après le pic spéculatif de 2021. Flooring Protocol permet aux détenteurs de fractionner leurs NFT en micro-jetons regroupés dans des pools de liquidité, un mécanisme censé fluidifier des actifs peu échangeables. C’est précisément cette mécanique qui a été détournée.
Une faille qui transforme une poussière de WETH en jetons quasi infinis
L’attaque a exploité une erreur dans la logique comptable du protocole. Le vice-président blockchain de Yuga Labs, connu sous le pseudonyme 0xQuit, a décrit le déroulé sur X. « Une faille de Flooring a aujourd’hui transformé une poussière de WETH en un solde de fpToken quasi infini, permettant à l’attaquant de vider les pools de Flooring », a-t-il écrit.
Concrètement, un dépôt minime de wrapped ether aurait permis de générer un nombre presque illimité de jetons fpToken, puis de drainer les pools pour en extraire les NFT sous-jacents. Un second acteur aurait ensuite ramassé les jetons dévalués dans les pools vidés pour les échanger contre les actifs restants.
Un sauvetage assuré par le bureau de trading interne
Face à la menace, Yuga Labs indique avoir racheté les actifs à risque avant l’attaquant. L’opération a été pilotée par 0xQuit, avec l’appui d’un chercheur en sécurité surnommé Coffee et le concours du bureau de gré à gré de la société, GrailsOTC, chargé d’avancer les fonds nécessaires, rapporte The Defiant.
Michael Figge a détaillé le butin récupéré. « Nous venons de terminer une opération whitehat sur une faille découverte dans Flooring Protocol. Désormais en garde chez Yuga Labs en toute sécurité : 29 bored apes, 4 mutant apes, 1 bakc, 2 cryptopunks, 1 azuki, 2 elementals, 26 captains, 1 moonbird, 2 doodles », a-t-il écrit. L’ensemble représenterait plus de 500 000 dollars, selon les décomptes convergents de The Defiant, Cointribune et CryptoTimes, qui recensent 68 pièces au total.
Des actifs conservés en attendant un correctif
Yuga Labs précise détenir ces NFT à titre conservatoire, et non comme un transfert définitif. La société dit vouloir les restituer à leurs propriétaires légitimes une fois qu’un correctif vérifié aura été déployé par les développeurs de Flooring. 0xQuit a d’ailleurs mis en garde les utilisateurs contre tout nouveau dépôt de NFT sur le protocole tant que la faille n’est pas colmatée.
Une partie des actifs resterait toutefois sous le contrôle de l’attaquant, selon The Defiant. Ni les développeurs de Flooring Protocol ni l’auteur présumé de l’exploitation n’avaient réagi publiquement dans les heures suivant l’annonce.
Un incident sur fond de marché affaibli
Le sauvetage intervient alors que le marché des NFT reste très éloigné de ses sommets. Le prix plancher des Bored Apes, qui a dépassé les 300 000 dollars en 2022, évolue désormais autour de 15 000 dollars, rappelle Cointribune. Les collections dites blue-chip conservent une valeur symbolique élevée, mais dans des volumes d’échange nettement contractés par rapport au cycle précédent.
Yuga Labs, éditeur du Bored Ape Yacht Club, avait cédé en 2025 plusieurs propriétés acquises les années précédentes, dont CryptoPunks, Meebits et Moonbirds, pour recentrer son activité sur Otherside et BAYC. La suite dépendra désormais du calendrier de correction annoncé par l’équipe de Flooring Protocol.




