Flow звинувачує вразливість плутанини типів часу виконання Cadence у експлойті на $3,9 млн

Flow опублікував звіт про інцидент 6 січня 2026 року, обговоривши основну причину експлойту на $3,9 мільйона.

Зловмисник використав вразливість плутанини типів у середовищі виконання Cadence для підробки токенів. Flow заявив, що жодні існуючі баланси користувачів не були доступні або скомпрометовані.

Flow визначає вразливість плутанини типів як основну причину експлойту

Вразливість плутанини типів була визначена Flow як основна причина. Вразливість дозволила зловмиснику обійти перевірки безпеки під час виконання, замаскувавши захищений актив під звичайну структуру даних. Зловмисник скоординував виконання близько 40 шкідливих смарт-контрактів.

Атака почалася на висоті блоку 137 363 398, 26 грудня 2025 року о 09:25 (за Києвом). Через кілька хвилин після першого розгортання почалося виробництво підроблених токенів. Зловмисник використовував стандартні структури даних, які можна реплікувати, щоб замаскувати захищені активи, які мають бути некопійованими. Скориставшись семантикою лише переміщення Cadence, це зробило можливою підробку токенів.

Cadence і повністю EVM-еквівалентне середовище є двома інтегрованими середовищами програмування, які запускає Flow. У цьому випадку експлойт був спрямований на Cadence.

Мережа зупинена протягом шести годин після першої зловмисної транзакції

27 грудня на висоті блоку 137 390 190 валідатори Flow розпочали скоординовану паузу мережі о 15:23 (за Києвом). Усі шляхи втечі були перекриті, і зупинка відбулася менше ніж через шість годин після першої зловмисної транзакції.

Підроблені FLOW переміщувалися на депозитні акаунти централізованих бірж 26 грудня о 09:42 (за Києвом). Через їхній розмір і нерегулярність більшість великих переказів FLOW, які були надіслані на біржі, були заморожені при отриманні. Починаючи з 10:06 (за Києвом) 27 грудня кілька активів було переміщено за межі мережі за допомогою Celer, deBridge і Stargate.

О 11:30 (за Києвом) були підняті перші сигнали виявлення. На цей момент депозити на біржах корелювали з аномальними рухами FLOW між віртуальними машинами. Оскільки підроблені FLOW почали ліквідуватися з 11:00 (за Києвом), централізовані біржі зіткнулися зі значним тиском продажу.

Біржі повернули 484 мільйони підроблених токенів FLOW

Згідно з Flow, зловмисник депонував 1,094 мільярда фальшивих FLOW на кількох централізованих біржах. Партнери-біржі Gate.io, MEXC і OKX повернули 484 434 923 FLOW, які були знищені. 98,7% залишку підробленої продукції ізольовано в ончейн і перебуває в процесі знищення. Повне вирішення очікується протягом 30 днів, і координація з іншими партнерами-біржами все ще триває.

Після того, як спільнота оцінила кілька варіантів відновлення, включаючи відновлення контрольної точки, було обрано стратегію відновлення. Flow провів консультації в усій екосистемі з партнерами з інфраструктури, операторами мостів і біржами.

Експлойт Flow на $3,9 мільйона стався за подібною схемою інцидентів безпеки, що вплинули на криптопротоколи наприкінці грудня 2025 року та на початку січня 2026 року. BtcTurk зазнав зламу гарячого гаманця на $48 мільйонів 1 січня 2026 року. Хакери скомпрометували інфраструктуру гарячих гаманців централізованої біржі та відкачали кошти через Ethereum, Arbitrum, Polygon та інші мережі.

Binance зазнав інциденту з маніпуляцією акаунтом маркет-мейкера 1 січня, пов'язаного з токеном BROCCOLI.

Хочете, щоб ваш проєкт опинився перед провідними криптоекспертами? Представте його в нашому наступному галузевому звіті, де дані зустрічаються з впливом.