Naglabas ang Flow ng ulat sa teknikal na pagsusuri ng insidente sa seguridad

Ang Flow network ay nakaranas ng pag-atake na nagmula sa Cadence virtual machine type confusion vulnerability, na nagresulta sa ilegal na paglikha ng mga token. Ginamit ng umaatake ang isang komplikadong "three-part vulnerability chain" upang malampasan ang resource linearity guarantee, at itinago ang resource object bilang struct upang makopya ito. Ang insidente ay nagdulot ng tinatayang $3.9 milyon na aktwal na pagkalugi, at ang mga pondo ay nailipat na palabas gamit ang mga cross-chain bridge tulad ng Celer at deBridge.

Ayon sa Flow monitoring, ang umaatake ay nakalikha ng kabuuang 87.96 billions FLOW at iba’t ibang uri ng token, kabilang ang 1.094 billions FLOW na nailipat sa centralized exchanges. Dahil sa agarang pagtigil ng mga validator at pakikipagtulungan sa ilang exchange, humigit-kumulang 98.7% ng mga ilegal na asset ay na-freeze na sa chain o sa exchange, at tinatayang 484 millions FLOW ang na-burn na. Ang network ay naibalik noong Disyembre 29 sa pamamagitan ng "isolation recovery plan," at kasalukuyang naipatupad na ang komprehensibong patch na sumasaklaw sa parameter validation, runtime checks, at contract deployment logic.