Flow обвиняет уязвимость путаницы типов в среде выполнения Cadence в эксплойте на 3,9 млн $

Flow опубликовал отчет о происшествии 6 января 2026 года, обсуждая основную причину эксплойта на $3,9 млн.

Злоумышленник воспользовался уязвимостью путаницы типов среды выполнения Cadence для подделки токенов. Flow заявил, что балансы существующих пользователей не были затронуты или скомпрометированы.

Flow определяет уязвимость путаницы типов как основную причину эксплойта

Уязвимость путаницы типов была определена Flow как основная причина. Уязвимость позволила злоумышленнику обойти проверки безопасности среды выполнения, маскируя защищенный актив под обычную структуру данных. Злоумышленник координировал выполнение около 40 вредоносных смарт-контрактов.

Атака началась на высоте блока 137 363 398 26 декабря 2025 года в 23:25 PST. Через несколько минут после первого развертывания началось производство поддельных токенов. Злоумышленник использовал стандартные структуры данных, которые можно реплицировать, чтобы замаскировать защищенные активы, которые должны быть некопируемыми. Воспользовавшись семантикой Cadence «только перемещение», это сделало возможным подделку токенов.

Cadence и полностью эквивалентная EVM среда — это две интегрированные среды программирования, которые использует Flow. В данном случае эксплойт был нацелен на Cadence.

Сеть остановлена в течение шести часов после первой вредоносной транзакции

27 декабря, на высоте блока 137 390 190, валидаторы Flow начали скоординированную паузу сети в 05:23 PST. Все пути отхода были перекрыты, и остановка произошла менее чем через шесть часов после первой вредоносной транзакции.

Поддельные FLOW переводились на депозитные счета централизованных бирж 26 декабря в 23:42 PST. Из-за их размера и нерегулярности большинство крупных переводов FLOW, отправленных на биржи, были заморожены при получении. Начиная с 00:06 PST 27 декабря, несколько активов были переведены за пределы сети с использованием Celer, deBridge и Stargate.

В 01:30 PST были подняты первые сигналы обнаружения. В этот момент депозиты на биржах были сопоставлены с аномальными межвиртуальными перемещениями FLOW. Поскольку поддельные FLOW начали ликвидироваться с 1:00 PST, централизованные биржи столкнулись со значительным давлением продаж.

Биржи вернули 484 миллиона поддельных токенов FLOW

По данным Flow, злоумышленник разместил 1,094 миллиарда поддельных FLOW на нескольких централизованных биржах. Биржи-партнеры Gate.io, MEXC и OKX вернули 484 434 923 FLOW, которые были уничтожены. 98,7% оставшегося предложения поддельных товаров изолированы на цепочке и находятся в процессе уничтожения. Полное разрешение ожидается через 30 дней, и координация с другими биржами-партнерами все еще продолжается.

После того как сообщество оценило несколько вариантов восстановления, включая восстановление контрольной точки, была выбрана стратегия восстановления. Flow провел консультации по всей экосистеме с партнерами по инфраструктуре, операторами мостов и биржами.

Эксплойт Flow на $3,9 млн произошел в рамках аналогичной схемы инцидентов безопасности, затронувших криптопротоколы в конце декабря 2025 года и начале января 2026 года. BtcTurk понесла убытки в $48 млн из-за взлома горячего кошелька 1 января 2026 года. Хакеры скомпрометировали инфраструктуру горячего кошелька централизованной биржи и вывели средства через Ethereum, Arbitrum, Polygon и другие цепочки.

Binance столкнулась с инцидентом манипулирования учетной записью маркет-мейкера 1 января с участием токена BROCCOLI.

Хотите, чтобы ваш проект был представлен ведущим умам криптоиндустрии? Разместите его в нашем следующем отраслевом отчете, где данные встречаются с воздействием.