Flow는 2026년 1월 6일, 390만 달러 규모의 해킹 사건의 근본 원인을 다룬dent 보고서를 발표했습니다.
공격자는 Cadence 런타임 유형 혼동 취약점을 악용하여
Flow는 유형 혼동 취약점을 익스플로잇의 근본 원인으로dent합니다
Flow는 타입 혼동 취약점이 주요 원인임을 밝혀냈습니다. 이 취약점으로 인해 공격자는 보호 대상 자산을 일반 데이터 구조로 위장하여 런타임 안전성 검사를 회피할 수 있었습니다. 공격자는 약 40개의 악성 스마트trac을 동시에 실행했습니다.
공격은 2025년 12월 26일 23시 25분(태평양 표준시) 블록 높이 137,363,398에서 시작되었습니다. 첫 번째 배포 후 몇 분 만에 위조 토큰 생성이 시작되었습니다. 공격자는 복제가 불가능해야 하는 보호 자산을 위장하기 위해 복제 가능한 표준 데이터 구조를 사용했습니다. Cadence의 이동 전용 의미론을 악용하여 토큰 위조를 가능하게 했습니다.
Flow는 Cadence와 EVM과 완전히 동일한 환경이라는 두 가지 통합 프로그래밍 환경을 실행합니다. 이번 공격은 Cadence를 대상으로 했습니다.
최초 악성 거래 후 6시간 이내에 네트워크가 다운되었습니다
12월 27일, 블록 높이 137,390,190에서 플로우 검증자들은 오전 5시 23분(태평양 표준시)에 네트워크 일시 중단을 시작했습니다. 모든 탈출 경로가 차단되었으며, 이 중단은 최초 악성 거래 발생 후 6시간도 채 되지 않아 발생했습니다.
위조된 FLOW가 12월 26일 23시 42분(태평양 표준시)까지 중앙 집중식 거래소 예치 계좌로 이동되고 있었습니다. 규모가 크고 거래 방식이 비정상적이었기 때문에 거래소로 전송된 대부분의 대규모 FLOW 이체는 수신 즉시 동결되었습니다. 12월 27일 0시 6분(태평양 표준시)부터는 Celer, deBridge, Stargate를 사용하여 일부 자산이 네트워크 외부에서 브릿징되었습니다.
태평양 표준시 기준 오전 1시 30분에 첫 번째 탐지 신호가 발생했습니다. 이 시점에서 거래소 예치금이 비정상적인 VM 간 FLOW 변동과 상관관계를 보였습니다. 오전 1시(태평양 표준시)부터 위조 FLOW가 청산되기 시작하면서 중앙 집중식 거래소는 상당한 매도 압력에 직면했습니다.
거래소에서 위조 FLOW 토큰 4억 8400만 개가 반환되었습니다
Flow 에 따르면 공격자는 여러 중앙 집중식 거래소에 10억 9,400만 FLOW를 위조했습니다. 거래소 파트너인 Gate.io, MEXC, OKX는 4억 8,443만 4,923 FLOW를 반환했으며, 이는 소각되었습니다. 나머지 위조품의 98.7%는 온체인에서 격리되어 소각 작업이 진행 중입니다. 완전한 해결은 30일 이내에 이루어질 것으로 예상되며, 다른 거래소 파트너들과의 협력은 계속 진행 중입니다.
커뮤니티는 체크포인트 복원을 복구 전략을 선택했습니다. Flow는 인프라 파트너, 교량 운영자 및 거래소와 함께 생태계 전반에 걸친 협의를 진행했습니다.
Flow의 390만 달러 규모 해킹 사건은 2025년 12월 말과 2026년 1월 초에 암호화폐 프로토콜에 영향을 미친 유사한 보안dent패턴 내에서 발생했습니다. BtcTurk는 2026년 1월 1일에 4,800만 달러 규모의 핫월렛 해킹 피해를 입었습니다. 해커들은 중앙 집중식 거래소의 핫월렛 인프라를 침해하여 Ethereum, 아비트럼, 폴리곤 및 기타 체인에서 자금을 빼돌렸습니다.
Binance 1월 1일 브로콜리 토큰과 관련된 마켓 메이커 계정 조작dent 을 경험했습니다.
