6 января 2026 года компания Flow опубликовала отчет о последствияхdent , в котором обсуждалась первопричина взлома, причинившего ущерб на сумму 3,9 миллиона долларов.
Злоумышленник использовал уязвимость путаницы типов в среде выполнения Cadence для подделки токенов. Компания Flow заявила, что доступ к балансам существующих пользователей не был получен, и данные не были скомпрометированы.
Flowdentуязвимость, связанную с путаницей типов, как первопричину эксплойта
В результате проверки Flow было установлено, что основной причиной уязвимости является ошибка типа данных. Эта уязвимость позволяла злоумышленнику обходить проверки безопасности во время выполнения, маскируя защищаемый ресурс под обычную структуру данных. Злоумышленник скоординировал выполнение около 40 вредоносных смарт-trac.
Атака началась на высоте блока 137 363 398 26 декабря 2025 года в 23:25 по тихоокеанскому времени. Через несколько минут после первого развертывания началось производство поддельных токенов. Злоумышленник использовал стандартные структуры данных, которые можно воспроизводить, чтобы замаскировать защищенные активы, которые должны быть некопируемыми. Благодаря использованию семантики Cadence, допускающей только перемещение, стало возможным создание поддельных токенов.
Cadence и полностью эквивалентная EVM среда — это две интегрированные среды программирования, используемые в Flow. В данном случае эксплойт был нацелен на Cadence.
Сеть вышла из строя в течение шести часов после первой вредоносной транзакции
27 декабря, на высоте блока 137 390 190, валидаторы потоков начали скоординированную паузу сети в 05:23 по тихоокеанскому времени. Все пути отступления были перекрыты, и остановка произошла менее чем через шесть часов после первоначальной вредоносной транзакции.
поддельные FLOW начали переводиться на централизованные депозитные счета бирж. Из-за их размера и нерегулярности большинство крупных переводов FLOW на биржи были заморожены сразу после получения. Начиная с 00:06 по тихоокеанскому времени 27 декабря, некоторые активы были переведены вне сети с использованием Celer, deBridge и Stargate.
В 01:30 по тихоокеанскому времени (PST) были получены первые сигналы обнаружения. В этот момент депозиты на биржах совпали с аномальными движениями потоков FLOW между виртуальными валютами. Поскольку ликвидация фальшивых потоков FLOW началась в 1:00 по тихоокеанскому времени (PST), централизованные биржи столкнулись со значительным давлением со стороны продавцов.
Биржи вернули 484 миллиона поддельных токенов FLOW
Согласно данным Flow , злоумышленник разместил 1,094 миллиарда поддельных FLOW на нескольких централизованных биржах. Партнеры по биржам Gate.io, MEXC и OKX вернули 484 434 923 FLOW, которые были уничтожены. 98,7% оставшегося запаса контрафактной продукции было изолировано в блокчейне и находится в процессе уничтожения. Полное разрешение ситуации ожидается в течение 30 дней, координация с другими партнерами по биржам продолжается.
После того, как сообщество оценило несколько вариантов восстановления, включая восстановление контрольно-пропускных пунктов , была выбрана стратегия восстановления. Компания Flow провела консультации в масштабах всей экосистемы с партнерами по инфраструктуре, операторами мостов и транспортными развязками.
Взлом Flow на сумму 3,9 миллиона долларов произошел в рамках аналогичной серииdentбезопасности, затронувших криптовалютные протоколы в конце декабря 2025 года и начале января 2026 года. 1 января 2026 года BtcTurk пострадал от взлома своего горячего кошелька на сумму 48 миллионов долларов. Хакеры скомпрометировали инфраструктуру горячих кошельков централизованной биржи и перевели средства через Ethereum, Arbitrum, Polygon и другие блокчейны.
1 января на Binance произошелdent с манипуляциями со счетом маркет-мейкера, связанный с токеном BROCCOLI.
