Flow a publié un rapport post-dent le 6 janvier 2026, analysant la cause profonde de son exploit d'une valeur de 3,9 millions de dollars.
Un attaquant a exploité une vulnérabilité de confusion de type dans l'environnement d'exécution de Cadence pour falsifier des jetons. Flow a indiqué qu'aucun solde utilisateur existant n'a été consulté ni compromis.
Flow etdentidentifient une vulnérabilité de confusion de type comme cause racine de l'exploitation
Flow a identifié une vulnérabilité de confusion de types comme la cause principale de l'attaque. Cette vulnérabilité permettait à l'attaquant de contourner les contrôles de sécurité d'exécution en dissimulant une ressource protégée sous l'apparence d'une structure de données classique. L'attaquant a ainsi coordonné l'exécution d'une quarantaine detracintelligents malveillants.
L'attaque a débuté au bloc 137 363 398 le 26 décembre 2025 à 23h25 PST. Quelques minutes après le premier déploiement, la production de jetons contrefaits a commencé. L'attaquant a utilisé des structures de données standard réplicables pour dissimuler des actifs protégés qui devraient être impossibles à copier. En exploitant la sémantique « move-only » de Cadence, il a rendu la contrefaçon de jetons possible.
Cadence et un environnement entièrement équivalent à EVM sont les deux environnements de programmation intégrés utilisés par Flow. Dans ce cas précis, l'exploit ciblait Cadence.
Le réseau est tombé en panne dans les six heures suivant la transaction malveillante initiale
Le 27 décembre, au bloc 137 390 190, les validateurs de flux ont déclenché une pause coordonnée du réseau à 5 h 23 PST. Toutes les voies de sortie ont été coupées et l’arrêt est survenu moins de six heures après la transaction malveillante initiale.
des FLOW contrefaits étaient transférés vers des comptes de dépôt centralisés. Compte tenu de leur volume et de leur irrégularité, la plupart des transferts importants de FLOW envoyés aux plateformes d'échange ont été bloqués dès leur réception. À partir du 27 décembre à 00h06 PST, quelques actifs ont été transférés hors réseau via Celer, deBridge et Stargate.
À 1 h 30 PST, les premiers signaux de détection ont été émis. À ce moment-là, les dépôts sur les plateformes d'échange étaient corrélés à des mouvements anormaux de flux FLOW entre les systèmes de change virtuels (VM). La liquidation des flux FLOW contrefaits ayant débuté à 1 h 00 PST, les plateformes d'échange centralisées ont subi une forte pression à la vente.
Les plateformes d'échange renvoient 484 millions de jetons FLOW contrefaits
Selon Flow , l'attaquant a déposé 1,094 milliard de faux FLOW sur plusieurs plateformes d'échange centralisées. Les partenaires Gate.io, MEXC et OKX ont restitué 484 434 923 FLOW, qui ont été détruits. 98,7 % des actifs contrefaits restants ont été isolés sur la blockchain et sont en cours de destruction. Un règlement complet est prévu dans les 30 jours, et la coordination avec les autres partenaires est toujours en cours.
la restauration des points de contrôle la communauté a choisi une stratégie de rétablissement. Flow a mené des consultations à l'échelle de l'écosystème avec les partenaires d'infrastructure, les exploitants de ponts et les bourses.
L'exploitation de la faille de sécurité de 3,9 millions de dollars de Flow s'inscrit dans un schéma similaire d'dentde sécurité affectant les protocoles crypto entre fin décembre 2025 et début janvier 2026. BtcTurk a subi une violation de son portefeuille chaud de 48 millions de dollars le 1er janvier 2026. Des pirates informatiques ont compromis l'infrastructure de portefeuille chaud de la plateforme d'échange centralisée et ont siphonné des fonds sur Ethereum, Arbitrum, Polygon et d'autres chaînes.
Binance a connu undent de manipulation de compte de teneur de marché le 1er janvier impliquant le jeton BROCCOLI.
