A Flow detalha o ataque de US$ 3,9 milhões em relatório completo pós-dent

A Flow publicou um relatório pós-dent em 6 de janeiro de 2026, discutindo a causa principal do seu ataque que resultou em um prejuízo de US$ 3,9 milhões.

Um invasor explorou uma vulnerabilidade de confusão de tipo no ambiente de execução do Cadence para falsificar tokens. A Flow afirmou que nenhum saldo de usuário existente foi acessado ou comprometido.

Flowdentvulnerabilidade de confusão de tipos como causa raiz da exploração

A Flow identificou uma vulnerabilidade de confusão de tipos como a principal causa. Essa vulnerabilidade permitia que o atacante burlasse as verificações de segurança em tempo de execução, disfarçando um recurso protegido como uma estrutura de dados comum. O atacante coordenou a execução de cerca de 40tracinteligentes maliciosos.

O ataque começou no bloco 137.363.398 em 26 de dezembro de 2025, às 23h25 PST. Minutos após a primeira implantação, a produção de tokens falsificados teve início. O atacante utilizou estruturas de dados padrão replicáveis ​​para disfarçar ativos protegidos que deveriam ser incopiáveis. Ao explorar a semântica de movimentação apenas do Cadence, foi possível a falsificação de tokens.

O Cadence e um ambiente totalmente equivalente ao EVM são os dois ambientes de programação integrados executados pelo Flow. Neste caso, o exploit teve como alvo o Cadence.

A rede ficou inoperante em menos de seis horas após a transação maliciosa inicial

Em 27 de dezembro, na altura do bloco 137.390.190, os validadores de fluxo iniciaram uma pausa coordenada na rede às 05:23 PST. Todas as rotas de escape foram bloqueadas e a interrupção ocorreu menos de seis horas após a transação maliciosa inicial.

Até as 23h42 (horário do Pacífico) do dia 26 de dezembro, a moeda FLOW falsificada estava sendo transferida para contas de depósito centralizadas em corretoras. Devido ao seu tamanho e irregularidade, a maioria das grandes transferências de FLOW enviadas para corretoras foram congeladas assim que recebidas. A partir das 00h06 (horário do Pacífico) do dia 27 de dezembro, alguns ativos foram transferidos para fora da rede usando Celer, deBridge e Stargate.

Às 01h30 PST, os primeiros sinais de detecção foram emitidos. Nesse momento, os depósitos nas exchanges foram correlacionados com movimentos anômalos de FLOW entre diferentes máquinas virtuais. Como o FLOW falsificado começou a ser liquidado às 1h00 PST, as exchanges centralizadas enfrentaram uma pressão de venda significativa.

As corretoras devolveram 484 milhões de tokens FLOW falsificados

Segundo a Flow, o atacante depositou 1,094 bilhão de FLOW falsos em diversas exchanges centralizadas. As exchanges parceiras Gate.io, MEXC e OKX devolveram 484.434.923 FLOW, que foram destruídos. 98,7% do restante dos ativos falsificados foi isolado na blockchain e está em processo de destruição. A resolução completa está prevista para daqui a 30 dias, e a coordenação com as demais exchanges parceiras ainda está em andamento.

Após a comunidade avaliar diversas opções de recuperação, incluindo a restauração dos pontos de controle, a estratégia de recuperação foi escolhida. A Flow realizou consultas em todo o ecossistema com parceiros de infraestrutura, operadores de pontes e centros de distribuição.

O ataque de US$ 3,9 milhões à Flow ocorreu dentro de um padrão semelhante dedentde segurança que afetaram protocolos de criptomoedas no final de dezembro de 2025 e início de janeiro de 2026. A BtcTurk sofreu uma violação de segurança de US$ 48 milhões em sua carteira online em 1º de janeiro de 2026. Hackers comprometeram a infraestrutura de carteira online da exchange centralizada e desviaram fundos entre Ethereum, Arbitrum, Polygon e outras blockchains.

Binance sofreu umdent de manipulação de conta de formador de mercado em 1º de janeiro envolvendo o token BROCCOLI.