Flow opublikował raport techniczny z analizy incydentu bezpieczeństwa

Sieć Flow została zaatakowana z wykorzystaniem podatności typu confusion wirtualnej maszyny Cadence, co doprowadziło do nielegalnej emisji tokenów. Atakujący wykorzystał złożony „łańcuch trzech luk”, aby obejść gwarancję liniowości zasobów, maskując obiekt zasobu jako strukturę do kopiowania. W wyniku incydentu doszło do rzeczywistej straty ekonomicznej w wysokości około 3.9 miliona dolarów, a środki zostały przetransferowane przez mosty cross-chain, takie jak Celer i deBridge.

Zgodnie z monitoringiem Flow, atakujący stworzył łącznie 87.96 miliardów FLOW oraz wiele innych tokenów, z czego 1.094 miliarda FLOW zostało przelanych na scentralizowane giełdy. Dzięki szybkiej reakcji walidatorów i współpracy z jedną z giełd, około 98.7% nielegalnych aktywów zostało zamrożonych na łańcuchu lub na giełdzie, a około 484 milionów FLOW zostało zniszczonych. Sieć została przywrócona 29 grudnia w ramach „planu izolacyjnego przywracania”, a obecnie wdrożono kompleksową poprawkę obejmującą weryfikację parametrów, kontrole w czasie wykonywania oraz logikę wdrażania kontraktów.