- Letzte gefälschte FLOW von Binance und HTX zurückgeholt; Token jetzt on-chain isoliert.
- Flow wird den Notfallzugang des Rates am 13. Januar 2026 widerrufen und beendet damit die Wiederherstellungsbefugnisse.
- Vernichtung der gefälschten FLOW ist für den 30. Januar 2026 nach Überprüfung der Exponierung geplant.
Das Flow Network gab bekannt, dass die endgültige Rückholung der ausstehenden gefälschten FLOW von zentralisierten Börsen abgeschlossen ist. Die Rückholung umfasste Binance und HTX und schloss den letzten operativen Schritt des Isolated Recovery Plans ab. Der Community Governance Council führte die Rückholung durch. Alle zurückverfolgten gefälschten FLOW sind jetzt on-chain isoliert. Die dauerhafte Vernichtung ist für den 30. Januar 2026 angesetzt.
Ein X-Post des Projekts bestätigte den Abschluss der Phase 4 des Isolated Recovery Plans. Teilnehmer des Validator-Netzwerks bestätigten das Mandat durch eine Supermehrheit. Forensische Partner wurden als Quelle für die Rückverfolgung und Bestätigung der gefälschten Token genannt.
Notfallzugang am 13. Januar, während Tokenverbrennung naht
Als nächstes wird die Foundation den während des Rückholungsprozesses genutzten erhöhten Zugang entfernen. Der 13. Januar 2026 ist für den Widerruf der temporären Berechtigungen des Community Governance Council angesetzt. Flow beschrieb den Zugang als eine Notfallmaßnahme, die zum ersten Mal in der fünfjährigen Geschichte des Netzwerks eingesetzt wurde.
Governance-Kontrollen wurden als Teil der Reaktion hervorgehoben. Das Unternehmen erklärte, dass jede dem Governance Council gewährte Befugnis und jede ergriffene Maßnahme transparent und on-chain prüfbar ist. Eine Mehrheitsgenehmigung der Netzwerkvalidatoren ist erforderlich, damit Knoten-Software-Updates durchgeführt werden können.
Die Tokenvernichtung bleibt der letzte Schritt zur Entfernung des gefälschten Angebots aus dem System. Die Foundation hat das Verbrennen der gefälschten Token für den 30. Januar 2026 angesetzt. Externe Rechtsberater und forensische Partner koordinieren sich mit Börsen, um eine mögliche Nutzerexponierung zu bewerten. Die Plattform erklärte, dass sie mit den Börsenpartnern zusammenarbeiten wird, um die volle Ein- und Auszahlungsfunktionalität an allen Handelsplätzen wiederherzustellen.
Die Wiederherstellung der Dienstleistungen hat auf mehreren Plattformen bereits begonnen. Coinbase, Kraken und Gate haben laut Flow Ein- und Auszahlungen wieder geöffnet. Die Foundation erklärte, das Ziel sei eine vollständige Rückkehr zum normalen Betrieb überall dort, wo FLOW gehandelt wird.
Verwandt: Bitfarms verlässt Lateinamerika zur Finanzierung des nordamerikanischen KI-Ausbaus
Der Vorfall begann laut Zeitplan der Foundation am 27. Dezember 2025. Die Plattform berichtete, dass ein Angreifer eine Schwachstelle im Flow-Netzwerk ausnutzte, um Token zu fälschen und etwa 3,9 Millionen US-Dollar über Bridges zu extrahieren. Bestehende Nutzerkonten wurden nicht kompromittiert oder betroffen.
Cadence-Exploit
Eindämmungsmaßnahmen reduzierten die Möglichkeit, die gefälschten Token zu liquidieren. Das Flow Network gab an, dass die meisten gefälschten Vermögenswerte on-chain isoliert oder von Börsenpartnern vor der Liquidierung eingefroren wurden.
Validatoren bestätigten eine dezentrale Governance-Aktion, die die dauerhafte Vernichtung von 100% der gefälschten Vermögenswerte autorisierte. Der Netzwerkbetrieb wurde am 29. Dezember 2025 wieder aufgenommen und die vollständige Transaktionshistorie blieb erhalten.
Technische Details beschrieben den Exploit als hochgradig koordiniert. Der Angreifer setzte mehr als 40 bösartige Smart Contracts in einer Abfolge ein, die darauf ausgelegt war, Laufzeitschutzmechanismen zu umgehen. Das Flow Network erklärte, der Exploit habe auf einer dreiteiligen Angriffskette basiert. Jeder Teil schwächte Schutzmechanismen, die normalerweise die Duplizierung geschützter Vermögenswerte verhindern.
Zunächst umging der Angreifer laut Flows Bericht die Validierung des Attachment Imports. Zweitens wurden Schutzprüfungen für eingebaute Typen umgangen, um Durchsetzungsregeln zu vermeiden. Drittens wurden die Initialisierungsmechanismen des Vertrags ausgenutzt, um den Fälschungsprozess abzuschließen.
Die Ursachenanalyse identifizierte eine Schwachstelle in der Cadence Runtime v1.8.8. Das Problem wurde in v1.8.9 und später behoben. Der Fehler ermöglichte es, einen geschützten, nicht kopierbaren Vermögenswert als standardmäßige Datenstruktur zu tarnen, die kopiert werden konnte.
Die Abstimmung mit Börsen wurde zu einem zentralen Bestandteil der Schadensbegrenzung. Nach dem Bridging von Vermögenswerten aus dem Netzwerk versuchte der Angreifer, gefälschte FLOW auf mehreren zentralisierten Börsen einzuzahlen. Ungewöhnlich große Einzahlungen führten zu Einfrierungen durch interne AML-Protokolle.
Die Plattform erklärte, dass etwa 50% der gefälschten Einzahlungen von Börsenpartnern zurückgegeben und vernichtet wurden. OKX, Gate und MEXC wurden in dieser Phase als kooperative Handelsplätze genannt. Die fortgesetzte Zusammenarbeit mit den verbleibenden Börsen führte laut Foundation zur endgültigen Rückholung, einschließlich Binance und HTX.
