Деталі потоку: злом на $3.9M після вразливості Cadence, яка дозволила дублювання токенів

Джерело: DefiPlanet Оригінальна назва: Деталі потоку $3.9M експлойт після недоліків Cadence, що дозволили дублювання токенів Оригінальне посилання:

Швидкий огляд

• Недолік у середовищі виконання Cadence дозволив дублювання токенів, що призвело до підтверджених втрат на суму $3.9M.
• Баланси користувачів не були виведені; більшість підроблених активів було заморожено до ліквідації.
• Flow виправив проблему та запровадив більш жорсткі заходи безпеки та моніторингу.

Технічні деталі

Фонд Flow опублікував технічний звіт, у якому пояснюється експлойт на рівні протоколу, що дозволив зловмиснику підробляти токени в мережі, спричинивши приблизно $3.9 мільйонів збитків до того, як інцидент був зупинений.

Експлойт, який стався 27 грудня, виник через недолік у середовищі виконання Cadence у Flow, що дозволяв дублювати певні активи замість їх правильного створення. Це обійшло контроль за пропозицією, але не включало виведення або доступ до існуючих балансів користувачів.

Валідаційні вузли виявили зловмисну активність і координували зупинку мережі протягом шести годин після першої транзакції експлойту. Під час паузи блокчейн був переведений у режим лише для читання, щоб запобігти подальшому дублюванню активів, а основні партнерські біржі заморозили більшість підроблених токенів до їх продажу.

Flow повідомив, що нормальна робота відновилася через два дні після “ізольованого процесу відновлення”, який зберіг історію легітимних транзакцій і дозволив відновити та остаточно знищити підроблені активи через затвердження управління.

Фонд підкреслив, що кошти користувачів не були вкрадені, оскільки експлойт стосувався дублювання, а не видалення активів. Невелика кількість акаунтів, які взаємодіяли з підробленими токенами, були тимчасово обмежені, тоді як понад 99% користувачів зберегли повний доступ протягом усього процесу відновлення.

Виправлення безпеки та майбутні заходи

Хоча зловмисник створив великий обсяг підроблених токенів у мережі, Flow повідомив, що більшість з них було зупинено або заморожено до можливості ліквідації.

Вразливість була виправлена, і Фонд запровадив більш жорсткі перевірки середовища виконання, розширене регресійне тестування та покращені інструменти моніторингу. Flow також співпрацює з експертами з криміналістики та правоохоронними органами, а також зобов’язується посилити програми винагород за виявлення помилок і безпеки.

Контекст ринку

Flow був запущений Dapper Labs у 2019 році для підтримки блокчейн-додатків, орієнтованих на споживачів, здобувши ранню популярність через NBA Top Shot, що допомогло підняти токен FLOW понад $40 під час NFT-буму 2021 року.

Проєкт зібрав приблизно $725 мільйонів у 2022 році від інвесторів, включаючи Andreessen Horowitz та Union Square Ventures, але динаміка сповільнилася через зниження активності NFT. З того часу токен FLOW опустився за межі топ-300 криптовалют за ринковою капіталізацією.