- Злоумышленник вывел $3,9 млн во время эксплойта сети Flow.
- Он использовал мосты Celer, deBridge, Relay и Stargate для вывода средств.
- Flow локализовала взлом и отслеживает отмывание средств через THORChain и Chainflip.
27 декабря 2025 года сеть Flow подверглась целенаправленной атаке на уровень исполнения (execution layer), в результате которой злоумышленник вывел из экосистемы активы на сумму около $3,9 млн.
По данным Flow Foundation, атаку оперативно локализовали после скоординированной остановки сети валидаторами, что позволило полностью перекрыть дальнейшие пути вывода средств. При этом ключевым является то, что балансы пользователей не пострадали.
В Flow Foundation подчеркнули:
«Критически важно, что этот эксплойт не предоставил доступ к имеющимся пользовательским балансам. Все депозиты пользователей остаются в безопасности».
По результатам форензик-анализа, средства преимущественно выводились через межсетевые мосты Celer, deBridge, Relay и Stargate, после чего часть активов конвертировали в Ethereum (ETH), WBTC и стейблкоины. В целом подтвержден вывод:
- около $3,9 млн в эквиваленте;
- 9,8 WBTC (примерно $930 000 на момент транзакций);
- 339 000 PYUSD, которые впоследствии были конвертированы в Ethereum (ETH).
Кошелек злоумышленника в сети Ethereum уже идентифицирован и помечен как вредоносный. В Foundation отметили, что в настоящее время фиксируются попытки активного отмывания средств через протоколы с повышенной приватностью, в частности Thorchain и Chainflip.
«Активное отмывание средств через THORChain и Chainflip отслеживается в режиме реального времени», — сообщили в фонде.
Flow Foundation подтвердила, что уже направила запросы на заморозку активов ключевым участникам рынка, включая компании Circle, Tether, а также крупные криптобиржи — Binance, Coinbase и Kraken. К расследованию привлечены внешние форензик-партнеры и правоохранительные органы.
По словам команды, объем подтвержденных потерь «является управляемым и не представляет угрозы платежеспособности сети или средств пользователей».
Протокольное исправление завершено и проходит финальную валидацию в тестовой среде. Flow Foundation сообщила, что перезапуск сети запланирован в течение 4-6 часов при условии успешного тестирования.
«Сеть не перезапустят, пока исправление не будет полностью проверено», — подчеркнули в организации.
Следующее обновление статуса ожидается в течение двух часов, а полный технический постмортем обещают опубликовать в течение 72 часов.
Атака на Flow произошла на фоне общего ухудшения ситуации с безопасностью в DeFi-секторе. Ранее генеральный директор Chainalysis Джонатан Левин предупреждал, что индустрия «сосредоточена на прибыли, а не на кибербезопасности», а успешные протоколы часто содержат критические точки уязвимости.
В декабре протокол Yearn Finance подвергся сразу нескольким атакам: сначала потерял $9 млн из-за эксплойта пула yETH, а затем еще около $300 000 в результате взлома старого хранилища V1. Часть средств тогда была проведена через миксер Tornado Cash.
Согласно отчету CertiK, общие убытки от криптовзломов в 2025 году достигли $3,3 млрд, несмотря на сокращение количества инцидентов. Аналитики отмечают, что потери концентрируются в нескольких технически сложных атаках, что подчеркивает системные риски для индустрии.
