Flow опубликовал технический отчет о разборе инцидента безопасности

Сеть Flow подверглась атаке, связанной с уязвимостью путаницы типов виртуальной машины Cadence, что привело к незаконной эмиссии токенов. Злоумышленник использовал сложную «трёхкомпонентную цепочку уязвимостей», чтобы обойти гарантию линейности ресурсов, маскируя объект ресурса под структуру для копирования. В результате инцидента был нанесён реальный экономический ущерб в размере около 3.9 миллионов долларов, средства были выведены через кроссчейн-мосты, такие как Celer и deBridge.

По данным мониторинга Flow, злоумышленник создал в общей сложности 87.96 миллиардов FLOW и различные другие токены, из которых 1.094 миллиарда FLOW были переведены на централизованные биржи. Благодаря своевременной остановке валидаторов и сотрудничеству с одной из бирж, около 98.7% незаконных активов были заморожены на блокчейне или бирже, а примерно 484 миллиона FLOW были уничтожены. Сеть восстановила работу 29 декабря в рамках «плана изолированного восстановления» и на данный момент внедрила комплексное обновление, включающее проверку параметров, проверки во время исполнения и логику деплоя контрактов.