Il 6 gennaio 2026 Flow pubblicò un rapporto post-dent , in cui discuteva la causa principale del suo exploit da 3,9 milioni di dollari.
Un aggressore ha sfruttato una vulnerabilità di tipo "runtime confusion" di Cadence per falsificare i token. Flow ha affermato che nessun saldo utente esistente è stato violato o compromesso.
Ildentidentifica la vulnerabilità della confusione di tipo come causa principale dell'exploit
Flow ha scoperto che la causa principale era una vulnerabilità di confusione di tipo. La vulnerabilità ha permesso all'aggressore di eludere i controlli di sicurezza in fase di esecuzione camuffando una risorsa protetta come una normale struttura dati. L'aggressore ha coordinato l'esecuzione di circa 40 smarttracdannosi.
L'attacco è iniziato all'altezza del blocco 137.363.398 il 26 dicembre 2025, alle 23:25 PST. Pochi minuti dopo il primo deployment, è iniziata la produzione di token contraffatti. L'aggressore ha utilizzato strutture dati standard replicabili per mascherare asset protetti che dovrebbero essere non copiabili. Sfruttando la semantica move-only di Cadence, ciò ha reso possibile la contraffazione dei token.
Cadence e un ambiente completamente equivalente a EVM sono i due ambienti di programmazione integrati gestiti da Flow. In questo caso, l'exploit ha preso di mira Cadence.
Rete inattiva entro sei ore dalla transazione dannosa iniziale
Il 27 dicembre, all'altezza del blocco 137.390.190, i validatori di flusso hanno avviato una pausa coordinata della rete alle 05:23 PST. Tutte le vie di fuga sono state interrotte e l'interruzione è avvenuta meno di sei ore dopo la transazione dannosa iniziale.
i FLOW contraffatti sono stati trasferiti sui conti di deposito centralizzati degli exchange. A causa delle loro dimensioni e irregolarità, la maggior parte dei trasferimenti FLOW di grandi dimensioni inviati agli exchange è stata congelata al momento della ricezione. A partire dalle 00:06 PST del 27 dicembre, alcuni asset sono stati trasferiti fuori dalla rete tramite Celer, deBridge e Stargate.
Alle 01:30 PST, sono stati emessi i primi segnali di rilevamento. A questo punto, i depositi degli exchange sono stati correlati a movimenti anomali di FLOW tra VM. Con la liquidazione di FLOW contraffatti a partire dalle 1:00 PST, gli exchange centralizzati hanno dovuto affrontare una significativa pressione di vendita.
Gli exchange restituiscono 484 milioni di token FLOW contraffatti
Secondo Flow , l'aggressore ha depositato 1,094 miliardi di FLOW falsi su diversi exchange centralizzati. I partner di exchange Gate.io, MEXC e OKX hanno restituito 484.434.923 FLOW, che sono stati distrutti. Il 98,7% della rimanente fornitura di beni contraffatti è stata isolata on-chain ed è in fase di distruzione. La risoluzione completa del problema è prevista entro 30 giorni e il coordinamento con gli altri partner di exchange è ancora in corso.
Dopo che la comunità ha valutato diverse opzioni di ripristino, tra cui il ripristino dei checkpoint , è stata scelta la strategia di ripristino. Flow ha tenuto consultazioni a livello di ecosistema con partner infrastrutturali, gestori di ponti e centri di scambio.
L'exploit da 3,9 milioni di dollari di Flow si è verificato in un contesto simile didentdi sicurezza che hanno interessato i protocolli crittografici tra la fine di dicembre 2025 e l'inizio di gennaio 2026. BtcTurk ha subito una violazione dell'hot wallet da 48 milioni di dollari il 1° gennaio 2026. Gli hacker hanno compromesso l'infrastruttura dell'hot wallet dell'exchange centralizzato e hanno sottratto fondi attraverso Ethereum, Arbitrum, Polygon e altre catene.
Il 1° gennaio Binance ha subito undent di manipolazione dell'account di un market maker che ha coinvolto il token BROCCOLI.
