Фонд Flow во вторник опубликовал техническое вскрытие с подробным описанием эксплойта на уровне протокола, который произошел 27 декабря, когда злоумышленник смог подделать токены в сети, что привело к подтвержденным потерям на сумму около 3,9 миллионов долларов, прежде чем эксплойт был локализован.
Согласно отчету, злоумышленник воспользовался уязвимостью в среде выполнения Flow Cadence, которая позволяла дублировать определенные активы, а не создавать их, обходя контроль над поставками, не получая доступа к существующим пользовательским балансам и не опустошая их. Валидаторы координировали остановку сети в течение шести часов после первой вредоносной транзакции, в то время как партнеры по обмену замораживали большинство поддельных активов до того, как их можно было продать.
Flow сообщил, что временная остановка перевела сеть в режим только для чтения, чтобы разрезать пути выхода и предотвратить дальнейшее дублирование, пока проблема будет расследована. Операции возобновились через два дня в соответствии с планом «изолированного восстановления», который сохранял законную историю транзакций и разрешал восстановление и окончательное уничтожение поддельных активов посредством процесса, одобренного руководством.
Фонд Flow Foundation, который поддерживает сеть Flow, заявил, что ни один из существующих балансов пользователей не был скомпрометирован, поскольку эксплойт дублировал активы, а не удалял средства со счетов. Ограниченное количество учетных записей, которые взаимодействовали с поддельными токенами, были временно ограничены в качестве меры предосторожности, в то время как более 99% учетных записей сохранили полный доступ во время и после восстановления.
Хотя злоумышленник сгенерировал в сети большой объем поддельных токенов, Flow заявил, что подавляющее большинство из них было локализовано или заморожено перед ликвидацией.
Фонд заявил, что с тех пор исправил основную уязвимость, добавил более строгие проверки во время выполнения и расширил регрессионное тестирование для предотвращения подобных эксплойтов. Он также работает с партнерами-криминалистами и правоохранительными органами и планирует усилить программы мониторинга и поиска ошибок в рамках более широкого усиления безопасности.
Спад Flow после NFT
Dapper Labs, создатели проекта невзаимозаменяемых токенов CryptoKitties, объявили о разработке Flow в сентябре 2019 года как нового блокчейна уровня 1, предназначенного для решения проблем масштабируемости, с которыми сталкиваются потребительские приложения, такие как игры и цифровые предметы коллекционирования.
Ранний успех NBA Top Shot, платформы NFT для торговли официально лицензированными видеороликами НБА, помог привлечь внимание к блокчейну Flow в 2020 и 2021 годах. На этом фоне, по данным CoinGecko, в 2021 году сетевой токен FLOW превысил 40 долларов.
Импульс Flow продолжился и в 2022 году, когда проект привлек около 725 миллионов долларов от инвесторов, в том числе от Andreessen Horowitz (a16z) и Union Square Ventures, для поддержки развития экосистемы.
Поскольку в последующие годы активность на рынке NFT снизилась, токен FLOW также потерял импульс и с тех пор вышел за пределы 300 крупнейших криптовалют по рыночной капитализации.
Падение ускорилось после взлома 27 декабря, когда FLOW упал примерно на 40% за пять часов.
Позже, 2 января, токен упал до минимума в $0,075, прежде чем начать восстанавливаться. По данным Cointelegraph, на момент написания статьи он торговался около 0,10 доллара, что примерно на 16% выше за последние 24 часа.
