Flusso post-mortem: un bug del protocollo ha permesso all'attaccante di duplicare i token e siphonare $3.9M Un dettagliato post-mortem della Flow Foundation ha rivelato che l'exploit del 27 dicembre era una vulnerabilità a livello di protocollo nel layer di esecuzione Cadence (v1.8.8) che ha permesso a un attaccante di duplicare token fungibili — non di crearli — e ritirare circa $3.9 milioni di valore. Punti chiave - La Fondazione ha definito l'attacco “una notevole sofisticazione tecnica.” L'attaccante ha distribuito più di 40 contratti smart malevoli in una sequenza coordinata per portarlo a termine. - Un difetto in Cadence ha permesso all'attaccante di mascherare un asset protetto, non copiabile, come una struttura dati ordinaria e copiabile. Questo ha consentito la duplicazione dei token senza alterare i saldi degli utenti esistenti. - I validatori di Flow hanno bloccato la rete entro sei ore dalla prima transazione malevola. I partner di scambio hanno congelato i depositi legati all'attaccante, limitando ulteriori danni. - L'attaccante ha depositato 1.094 miliardi di token FLOW contraffatti in diversi scambi centralizzati. I partner di scambio OKX, Gate.io e MEXC hanno restituito e distrutto finora 484.434.923 FLOW. La Fondazione afferma che il 98.7% dell'offerta contraffatta rimanente è stata isolata e attende di essere distrutta. - È stato attivato un backstop a livello di protocollo che limita gli indirizzi di deposito legati all'attaccante al layer di esecuzione, in modo che i token contraffatti non possano essere ritirati, trasferiti o collegati fino a quando non saranno restituiti per la distruzione. - La vulnerabilità è stata corretta e la rete Flow è pienamente operativa. Gli sviluppatori hanno scelto un approccio di “recupero isolato” piuttosto che un rollback completo della catena per preservare la storia delle transazioni legittime e distruggere gli asset contraffatti attraverso un processo approvato dalla governance. Perché questo era importante Poiché l'exploit ha funzionato a livello di esecuzione, ha eluso le normali misure di sicurezza relative agli asset non copiabili — un bug sottile ma potente. La duplicazione anziché la creazione significava che i saldi degli utenti non venivano sovrascritti direttamente, complicando la rilevazione e il recupero. L'immediato fermo dei validatori e la risposta coordinata con gli scambi hanno impedito ulteriori riciclaggi dell'offerta contraffatta. Reazione del mercato Il valore di FLOW è crollato di circa il 40% nelle ore immediatamente successive all'attacco, scendendo a un minimo di $0.075 il 2 gennaio. Dopo il piano di recupero e il post-mortem, il token è rimbalzato; ha guadagnato oltre il 14% nelle ultime 24 ore ed era scambiato a $0.1015 al momento del rapporto. Prossimi passi La Flow Foundation continua a lavorare con ulteriori partner di scambio per recuperare e distruggere i token contraffatti rimanenti mentre monitora la rete dopo la patch. L'incidente sottolinea l'importanza della sicurezza a livello di esecuzione nelle piattaforme di smart contract e il valore di una rapida coordinazione tra validatori, fondazioni e scambi durante un incidente. Leggi di più sulle notizie generate dall'IA su: undefined/news