Flow publica relatório técnico de revisão de incidente de segurança

A rede Flow sofreu um ataque explorando uma vulnerabilidade de confusão de tipos na máquina virtual Cadence, resultando em emissão ilegal de tokens. O invasor utilizou uma complexa “cadeia de três vulnerabilidades” para contornar a garantia de linearidade de recursos, disfarçando objetos de recursos como structs para copiá-los. O incidente causou uma perda econômica real de cerca de 3,9 milhões de dólares, com os fundos sendo transferidos por pontes cross-chain como Celer e deBridge.

De acordo com o monitoramento da Flow, o invasor criou um total de 87,96 bilhões de FLOW e múltiplos outros tokens, dos quais 1,094 bilhão de FLOW foram transferidos para exchanges centralizadas. Graças à rápida paralisação dos validadores e à cooperação com uma exchange, cerca de 98,7% dos ativos ilegais foram congelados na blockchain ou nas exchanges, e aproximadamente 484 milhões de FLOW já foram destruídos. A rede foi restaurada em 29 de dezembro através de um “plano de recuperação isolada” e, atualmente, um patch abrangente cobrindo validação de parâmetros, verificações em tempo de execução e lógica de implantação de contratos já foi implementado.