Flow veröffentlichte am 6. Januar 2026 einen Bericht nach demdent , in dem die Ursache des 3,9 Millionen Dollar schweren Sicherheitsvorfalls erläutert wurde.
Ein Angreifer nutzte eine Schwachstelle in der Cadence-Laufzeitumgebung aus, die zu einer Verwechslung von Datentypen führte, um gefälschte Token zu erstellen. Laut Flow wurden keine bestehenden Benutzerguthaben abgerufen oder kompromittiert.
FlowdentTypenverwechslungsschwachstelle als Ursache des Exploits
Flow identifizierte eine Schwachstelle aufgrund von Typenverwechslung als Hauptursache. Diese Schwachstelle ermöglichte es Angreifern, Laufzeit-Sicherheitsprüfungen zu umgehen, indem sie geschützte Daten als reguläre Datenstruktur tarnten. Der Angreifer koordinierte die Ausführung von etwa 40 schädlichen Smarttrac.
Der Angriff begann am 26. Dezember 2025 um 23:25 Uhr PST bei Blockhöhe 137.363.398. Wenige Minuten nach der ersten Bereitstellung startete die Produktion gefälschter Token. Der Angreifer nutzte standardmäßige, replizierbare Datenstrukturen, um geschützte Assets zu verschleiern, die eigentlich nicht kopierbar sein sollten. Durch Ausnutzung der Move-Only-Semantik von Cadence wurde die Token-Fälschung ermöglicht.
Cadence und eine vollständig EVM-äquivalente Umgebung sind die beiden integrierten Programmierumgebungen, die von Flow ausgeführt werden. In diesem Fall zielte der Exploit auf Cadence ab.
Netzwerkausfall innerhalb von sechs Stunden nach der ersten bösartigen Transaktion
Am 27. Dezember, bei Blockhöhe 137.390.190, leiteten die Flow-Validatoren um 05:23 Uhr PST eine koordinierte Netzwerkpause ein. Sämtliche Ausweichwege wurden abgeschnitten, und der Stopp erfolgte weniger als sechs Stunden nach der ersten bösartigen Transaktion.
Gefälschte FLOW-Beträge wurden bis zum 26. Dezember um 23:42 Uhr PST auf zentrale Börsenkonten transferiert. Aufgrund ihres Umfangs und ihrer Unregelmäßigkeit wurden die meisten großen FLOW-Transfers, die an Börsen gesendet wurden, nach Eingang eingefroren. Ab 00:06 Uhr PST am 27. Dezember wurden einige Vermögenswerte mithilfe von Celer, deBridge und Stargate außerhalb des Netzwerks transferiert.
Um 01:30 Uhr PST wurden die ersten Erkennungssignale ausgelöst. Zu diesem Zeitpunkt korrelierten Börseneinlagen mit anomalen Cross-VM-FLOW-Bewegungen. Mit der Liquidierung gefälschter FLOWs ab 1:00 Uhr PST gerieten zentralisierte Börsen unter erheblichen Verkaufsdruck.
Börsen geben 484 Millionen gefälschte FLOW-Token zurück
Laut Flow hat der Angreifer 1,094 Milliarden gefälschte FLOW auf mehreren zentralisierten Börsen hinterlegt. Die Börsenpartner Gate.io, MEXC und OKX gaben 484.434.923 FLOW zurück, die vernichtet wurden. 98,7 % des verbleibenden Angebots an gefälschten Waren wurden in der Blockchain isoliert und werden derzeit vernichtet. Die vollständige Aufklärung des Problems wird in 30 Tagen erwartet; die Koordination mit anderen Börsenpartnern läuft noch.
Nachdem die Gemeinde verschiedene Wiederherstellungsoptionen, darunter die Instandsetzung der Kontrollpunkte , geprüft hatte, wurde die gewählte Wiederherstellungsstrategie ausgewählt. Flow führte umfassende Konsultationen mit Infrastrukturpartnern, Brückenbetreibern und Börsen durch.
Der Flow-Exploit mit einem Schaden von 3,9 Millionen US-Dollar ereignete sich im Rahmen einer ähnlichen Reihe von Sicherheitsvorfällendentdie Kryptoprotokolle Ende Dezember 2025 und Anfang Januar 2026 betrafen. BtcTurk wurde am 1. Januar 2026 Opfer eines Hot-Wallet-Hacks im Wert von 48 Millionen US-Dollar. Hacker kompromittierten die Hot-Wallet-Infrastruktur der zentralisierten Börse und entwendeten Gelder über Ethereum, Arbitrum, Polygon und andere Blockchains.
Binance kamdent am 1. Januar zu einem Vorfall von Kontomanipulation durch einen Market Maker im Zusammenhang mit dem BROCCOLI-Token.
