A Flow publicou um relatório pós-dent em 6 de janeiro de 2026, discutindo a causa principal do seu ataque que resultou em um prejuízo de US$ 3,9 milhões.
Um invasor explorou uma vulnerabilidade de confusão de tipo no ambiente de execução do Cadence para falsificar tokens. A Flow afirmou que nenhum saldo de usuário existente foi acessado ou comprometido.
Flowdentvulnerabilidade de confusão de tipos como causa raiz da exploração
A Flow identificou uma vulnerabilidade de confusão de tipos como a principal causa. Essa vulnerabilidade permitia que o atacante burlasse as verificações de segurança em tempo de execução, disfarçando um recurso protegido como uma estrutura de dados comum. O atacante coordenou a execução de cerca de 40tracinteligentes maliciosos.
O ataque começou no bloco 137.363.398 em 26 de dezembro de 2025, às 23h25 PST. Minutos após a primeira implantação, a produção de tokens falsificados teve início. O atacante utilizou estruturas de dados padrão replicáveis para disfarçar ativos protegidos que deveriam ser incopiáveis. Ao explorar a semântica de movimentação apenas do Cadence, foi possível a falsificação de tokens.
O Cadence e um ambiente totalmente equivalente ao EVM são os dois ambientes de programação integrados executados pelo Flow. Neste caso, o exploit teve como alvo o Cadence.
A rede ficou inoperante em menos de seis horas após a transação maliciosa inicial
Em 27 de dezembro, na altura do bloco 137.390.190, os validadores de fluxo iniciaram uma pausa coordenada na rede às 05:23 PST. Todas as rotas de escape foram bloqueadas e a interrupção ocorreu menos de seis horas após a transação maliciosa inicial.
a moeda FLOW falsificada estava sendo transferida para contas de depósito centralizadas em corretoras. Devido ao seu tamanho e irregularidade, a maioria das grandes transferências de FLOW enviadas para corretoras foram congeladas assim que recebidas. A partir das 00h06 (horário do Pacífico) do dia 27 de dezembro, alguns ativos foram transferidos para fora da rede usando Celer, deBridge e Stargate.
Às 01h30 PST, os primeiros sinais de detecção foram emitidos. Nesse momento, os depósitos nas exchanges foram correlacionados com movimentos anômalos de FLOW entre diferentes máquinas virtuais. Como o FLOW falsificado começou a ser liquidado às 1h00 PST, as exchanges centralizadas enfrentaram uma pressão de venda significativa.
As corretoras devolveram 484 milhões de tokens FLOW falsificados
Segundo a Flow , o atacante depositou 1,094 bilhão de FLOW falsos em diversas exchanges centralizadas. As exchanges parceiras Gate.io, MEXC e OKX devolveram 484.434.923 FLOW, que foram destruídos. 98,7% do restante dos ativos falsificados foi isolado na blockchain e está em processo de destruição. A resolução completa está prevista para daqui a 30 dias, e a coordenação com as demais exchanges parceiras ainda está em andamento.
Após a comunidade avaliar diversas opções de recuperação, incluindo a restauração dos pontos de controle , a estratégia de recuperação foi escolhida. A Flow realizou consultas em todo o ecossistema com parceiros de infraestrutura, operadores de pontes e centros de distribuição.
O ataque de US$ 3,9 milhões à Flow ocorreu dentro de um padrão semelhante dedentde segurança que afetaram protocolos de criptomoedas no final de dezembro de 2025 e início de janeiro de 2026. A BtcTurk sofreu uma violação de segurança de US$ 48 milhões em sua carteira online em 1º de janeiro de 2026. Hackers comprometeram a infraestrutura de carteira online da exchange centralizada e desviaram fundos entre Ethereum, Arbitrum, Polygon e outras blockchains.
Binance sofreu umdent de manipulação de conta de formador de mercado em 1º de janeiro envolvendo o token BROCCOLI.
