Flow obwinia lukę typu confusion w środowisku uruchomieniowym Cadence za exploit o wartości 3,9 mln USD

Flow opublikował raport poincydentowy 6 stycznia 2026 r., omawiając główną przyczynę exploitu o wartości 3,9 miliona dolarów.

Atakujący wykorzystał lukę typu confusion w runtime Cadence do fałszowania tokenów. Flow oświadczył, że żadne istniejące salda użytkowników nie zostały naruszone ani skompromitowane.

Flow identyfikuje lukę typu confusion jako główną przyczynę exploitu

Luka typu confusion została uznana przez Flow za główną przyczynę. Luka ta umożliwiła atakującemu ominięcie kontroli bezpieczeństwa runtime poprzez ukrycie chronionego aktywa jako zwykłej struktury danych. Atakujący skoordynował wykonanie około 40 złośliwych inteligentnych kontraktów.

Atak rozpoczął się na wysokości bloku 137 363 398 w dniu 26 grudnia 2025 r. o 23:25 PST. Kilka minut po pierwszym wdrożeniu rozpoczęło się tworzenie podrobionych tokenów. Atakujący użył standardowych struktur danych, które można replikować, aby ukryć chronione aktywa, które powinny być niekopiowalnych. Wykorzystując semantykę move-only Cadence, umożliwiło to fałszowanie tokenów.

Cadence i w pełni równoważne środowisko EVM to dwa zintegrowane środowiska programistyczne obsługiwane przez Flow. W tym przypadku exploit był wymierzony w Cadence.

Sieć wyłączona w ciągu sześciu godzin od początkowej złośliwej transakcji

27 grudnia, na wysokości bloku 137 390 190, walidatorzy flow rozpoczęli skoordynowane wstrzymanie sieci o 05:23 PST. Wszystkie drogi ucieczki zostały odcięte, a zatrzymanie nastąpiło mniej niż sześć godzin po początkowej złośliwej transakcji.

Podrobiony FLOW był przenoszony na scentralizowane konta depozytowe giełd 26 grudnia o 23:42 PST. Ze względu na ich wielkość i nieprawidłowość, większość dużych transferów FLOW wysłanych na giełdy została zamrożona po otrzymaniu. Począwszy od 00:06 PST 27 grudnia, kilka aktywów zostało przeniesionych poza sieć za pomocą Celer, deBridge i Stargate.

O 01:30 PST zostały zgłoszone pierwsze sygnały wykrycia. W tym momencie depozyty giełdowe były skorelowane z anomalnymi międzywirtualnymi ruchami FLOW. Gdy podrobiony FLOW zaczął być likwidowany od 1:00 PST, scentralizowane giełdy stanęły w obliczu znacznej presji sprzedażowej.

Giełdy zwracają 484 miliony podrobionych tokenów FLOW

Według Flow, atakujący zdeponował 1,094 miliarda fałszywych FLOW na kilku scentralizowanych giełdach. Partnerzy giełdowi Gate.io, MEXC i OKX zwrócili 484 434 923 FLOW, które zostały zniszczone. 98,7% pozostałej podaży podrobionych towarów zostało wyizolowane onchain i jest w trakcie niszczenia. Pełne rozwiązanie jest przewidywane w ciągu 30 dni, a koordynacja z innymi partnerami giełdowymi jest nadal w toku.

Po tym, jak społeczność oceniła kilka opcji odzyskiwania, w tym przywrócenie punktu kontrolnego, wybrano strategię odzyskiwania. Flow przeprowadził konsultacje w całym ekosystemie z partnerami infrastrukturalnymi, operatorami mostków i giełdami.

Exploit Flow o wartości 3,9 miliona dolarów miał miejsce w podobnym wzorcu incydentów bezpieczeństwa dotykających protokoły kryptowalutowe pod koniec grudnia 2025 r. i na początku stycznia 2026 r. BtcTurk ucierpiał z powodu naruszenia gorącego portfela o wartości 48 milionów dolarów 1 stycznia 2026 r. Hakerzy skompromitowali infrastrukturę gorącego portfela scentralizowanej giełdy i wyprowadzili fundusze przez Ethereum, Arbitrum, Polygon i inne łańcuchy.

Binance doświadczył incydentu manipulacji kontem animatora rynku 1 stycznia związanego z tokenem BROCCOLI.

Chcesz, aby Twój projekt znalazł się przed najlepszymi umysłami krypto? Zaprezentuj go w naszym kolejnym raporcie branżowym, gdzie dane spotykają się z wpływem.