Flow publica informe técnico de revisión de incidente de seguridad

La red Flow sufrió un ataque dirigido a una vulnerabilidad de confusión de tipos en la máquina virtual Cadence, lo que resultó en la emisión ilegal de tokens. El atacante aprovechó una compleja “cadena de vulnerabilidades de tres partes” para eludir la garantía de linealidad de los recursos, disfrazando objetos de recursos como estructuras para poder copiarlos. El incidente provocó una pérdida económica real de aproximadamente 3.9 millones de dólares, y los fondos fueron transferidos a través de puentes cross-chain como Celer y deBridge.

Según el monitoreo de Flow, el atacante generó un total de 8,796 millones de FLOW y varios otros tokens, de los cuales 1,094 millones de FLOW fueron transferidos a exchanges centralizados. Gracias a la rápida acción de los validadores, que detuvieron el sistema a tiempo y colaboraron con un exchange, aproximadamente el 98.7% de los activos ilegales han sido congelados en la blockchain o en exchanges, y se han destruido alrededor de 484 millones de FLOW. La red fue restaurada el 29 de diciembre mediante un “plan de recuperación aislado” y actualmente se ha implementado un parche integral que cubre la validación de parámetros, verificaciones en tiempo de ejecución y la lógica de despliegue de contratos.