Flow Foundation у вівторок опублікував технічне посмертне дослідження, в якому детально описується експлойт на рівні протоколу, який стався 27 грудня, коли зловмисник зміг підробити токени в мережі, що призвело до підтверджених збитків на суму близько 3,9 мільйона доларів до того, як експлойт було локалізовано.
Згідно зі звітом, зловмисник скористався недоліком у середовищі виконання Flow Cadence, який дозволяв копіювати певні активи, а не карбувати, в обхід засобів контролю надходження без доступу до наявних балансів користувачів або злиття їх. Валідатори координували зупинку мережі протягом шести годин після першої зловмисної транзакції, тоді як партнери по обміну заморозили більшість підроблених активів, перш ніж їх можна було продати.
Флоу сказав, що тимчасова зупинка перевела мережу в режим лише для читання, щоб розрізати шляхи виходу та запобігти подальшому дублюванню на час дослідження проблеми. Операції відновилися через два дні відповідно до плану «ізольованого відновлення», який зберігав законну історію транзакцій і дозволяв відновлення та остаточне знищення підроблених активів за допомогою процесу, схваленого керівництвом.
Фонд Flow, який підтримує мережу Flow, заявив, що існуючі баланси користувачів не були скомпрометовані, оскільки використання дублювало активи, а не видаляло кошти з рахунків. Обмежену кількість облікових записів, які взаємодіяли з підробленими токенами, було тимчасово обмежено як запобіжний захід, тоді як понад 99% облікових записів зберегли повний доступ під час і після відновлення.
Незважаючи на те, що зловмисник створив велику кількість підроблених токенів у ланцюжку, Flow сказав, що переважна більшість з них була локалізована або заморожена до ліквідації.
У Фонді заявили, що з тих пір виправили основну вразливість, додали суворіші перевірки часу виконання та розширили регресійне тестування, щоб запобігти подібним експлойтам. Він також співпрацює з партнерами-криміналістами та правоохоронними органами та планує посилити моніторинг і програми винагороди за помилки в рамках ширшого посилення безпеки.
Спад Flow після NFT
Dapper Labs, творці проекту невзаємозамінних токенів CryptoKitties, оголосили про розробку Flow у вересні 2019 року як нового блокчейна рівня 1, розробленого для вирішення проблем масштабованості, з якими стикаються споживчі програми, такі як ігри та цифрові предмети колекціонування.
Ранній успіх NBA Top Shot, платформи NFT для торгівлі офіційно ліцензованими відеороліками NBA, допоміг привернути увагу до блокчейну Flow у 2020 та 2021 роках. На цьому тлі мережевий токен FLOW у 2021 році перевищив 40 доларів США, згідно з даними CoinGecko.
Імпульс Flow перейшов у 2022 рік, коли проект залучив близько 725 мільйонів доларів від інвесторів, зокрема Andreessen Horowitz (a16z) і Union Square Ventures, для підтримки розвитку екосистеми.
Оскільки в наступні роки активність на ринку NFT охолола, токен FLOW також втратив оберти і з тих пір вийшов за межі 300 найкращих криптовалют за ринковою капіталізацією.
Падіння прискорилося після злому 27 грудня, коли FLOW впав приблизно на 40% протягом п’яти годин.
Пізніше токен впав до мінімуму в $0,075 2 січня, перш ніж почав відновлюватися. Згідно з даними Cointelegraph, на момент написання статті він торгувався приблизно на 16% за останні 24 години.
