Блокчейн-платформа Flow столкнулась с серьёзной уязвимостью в своём исполняющем слое 27 декабря 2025 года, что позволило злоумышленнику вывести активы на сумму около $3,9 млн. Атака была осуществлена через несколько кросс-чейн мостов, включая Celer, deBridge, Relay и Stargate, прежде чем средства достигли сети Ethereum. Валидаторы сети оперативно остановили блокчейн, чтобы предотвратить дальнейшие потери.
Изначально команда Flow Foundation предложила радикальное решение — полный откат (rollback) блокчейна до контрольной точки, предшествующей взлому. Это означало бы стирание всех транзакций, совершённых в течение нескольких часов, и необходимость их повторной отправки пользователями и провайдерами инфраструктуры. Данное предложение вызвало резкую критику со стороны ключевых партнёров экосистемы, включая оператора моста deBridge Алекса Смирнова, который заявил, что его команда не была проинформирована заранее.
Партнёры предупредили, что глобальный откат может создать серьёзные проблемы, такие как дублирование балансов у пользователей, которые выводили активы в течение окна атаки, и потери для тех, кто, наоборот, вводил средства. Генеральный советник Delphi Labs Габриэль Шапиро отметил, что такой подход может переложить убытки на операторов мостов и эмитентов, создав ничем не обеспеченные активы. На фоне этой неопределённости токен FLOW упал более чем на 40%, а общая стоимость заблокированных средств (TVL) в сети сократилась с $107 млн до $73,8 млн.
Под давлением сообщества Flow Foundation изменила свою позицию. 29 декабря был представлен пересмотренный план восстановления, разработанный совместно с операторами мостов, биржами и валидаторами. Вместо глобального отката было решено изолировать и уничтожить только мошеннически отчеканенные токены, сохранив легитимную активность пользователей. Этот план получил поддержку Dapper Labs, создателя Flow.
Валидаторы одобрили обновление программного обеспечения Mainnet 28 для реализации целевого восстановления. Сеть была переведена в режим «только для чтения» для тестирования. Восстановление операций запланировано поэтапно: на первом этапе, который начался в 6:00 по тихоокеанскому времени, среда Cadence вернётся к полной работе для более чем 99,9% аккаунтов. Аккаунты, получившие незаконно созданные токены, будут временно ограничены. Среда EVM останется в режиме чтения до завершения дальнейших восстановительных работ. Полный технический разбор инцидента будет опубликован в течение 72 часов.
