在加密世界里，黑客盗走资产早已不是什么新鲜事。但这一次，剧情出现了一点反转——不是攻击者先拿走NFT，而是项目方抢在攻击者之前把资产转移了出去。

Bored Ape Yacht Club（BAYC）母公司Yuga Labs日前披露，团队成功从一处存在漏洞的协议中转移并保全了价值约57万美元的NFT资产，其中包括29只Bored Ape和2枚Cryptopunks。这批资产目前由Yuga Labs临时托管，后续将制定归还方案交还给原持有人。

从结果来看，这更像是一场链上“紧急撤离行动”。

事件源头并非Yuga Labs自身产品，而是已经停止运营的NFT流动性协议Floor Protocol。该协议曾尝试解决NFT市场长期存在的流动性问题，允许用户将NFT存入资金池，并获得可自由交易的μtokens，从而让原本难以拆分交易的NFT具备类似ERC-20代币的流动性。

这类设计在2021年至2022年NFT狂热时期颇受欢迎。

当时市场面临一个现实问题：一只价值几十万美元的NFT很难快速成交，交易效率远低于加密货币。于是，一批围绕NFT金融化的项目开始涌现，包括NFT碎片化、NFT抵押借贷以及流动性池机制。Floor Protocol正是在这一背景下诞生。

问题在于，很多协议即使停止运营，其智能合约仍然留在链上。

只要资产没有完全迁出，合约中的潜在风险就依然存在。此次漏洞正是发生在部分仍然保留NFT资产的资金池中。根据Yuga Labs区块链副总裁0xquit披露的信息，团队在审查相关链上活动时发现攻击路径已经暴露，如果不及时处理，攻击者可能通过相同方法将池中资产全部抽走。

于是出现了一个有趣的场景。

项目方主动利用漏洞机制，先一步将资产转移到安全地址。严格意义上说，这种做法与传统网络安全领域中的“白帽黑客”行动颇为相似——利用漏洞，但目的不是获利，而是保护资产。

近年来，这类链上救援案例越来越频繁。

随着DeFi和NFT协议复杂度不断提升，许多风险已经不再来自协议核心代码，而是来自外围依赖、历史遗留合约以及长期无人维护的系统组件。尤其是在牛市结束后，不少项目停止更新甚至逐渐沉寂，但链上资产却依然停留在旧协议之中。

从某种意义上说，废弃协议正在成为加密行业新的安全隐患。

因为攻击者不需要寻找最新产品中的漏洞，他们更愿意寻找那些无人关注、缺乏维护但仍然存放资金的旧系统。这与传统互联网世界中攻击废弃服务器或未更新系统的逻辑几乎一致。

Yuga Labs此次介入，也反映出头部NFT品牌正在承担更广泛的生态责任。

过去，项目方往往只关注自身合约安全；如今随着生态规模扩大，品牌价值与用户资产安全之间的联系越来越紧密。即便漏洞并非出现在BAYC系统中，涉及大量Bored Ape资产时，Yuga Labs依然有动力出手处理。

毕竟对于NFT项目而言，社区信任本身就是最重要的资产之一。

更深层来看，这起事件再次揭示了NFT金融化道路上的矛盾。一方面，流动性协议能够释放NFT资产效率；另一方面，金融层叠结构越复杂，潜在攻击面也会随之扩大。过去几年DeFi领域已经反复验证这一规律，如今NFT赛道同样难以例外。

对于被救回资产的持有人来说，这显然是一次幸运的结果。

但对于整个行业而言，这更像是一次提醒：链上资产的风险并不会随着项目停止运营而自动消失。有时候，真正危险的并非最活跃的协议，而是那些早已被市场遗忘，却依然保存着价值不菲资产的旧合约。