Фонд Flow опубликовал детальный отчёт о расследовании инцидента, произошедшего 27 декабря 2025 года. Атака, в результате которой злоумышленник смог сгенерировать поддельные токены на сумму около $3,9 млн, была вызвана уязвимостью типа "спутывание типов" (type confusion) в среде выполнения Cadence — одном из двух интегрированных языков программирования блокчейна Flow.
Суть уязвимости заключалась в том, что злоумышленник смог обойти проверки безопасности среды выполнения, маскируя защищённый актив, который не должен быть копируемым, под стандартную, копируемую структуру данных. Это позволило не «чеканить» новые токены, а именно дублировать существующие, что, однако, не затронуло напрямую балансы пользователей.
Атака, продемонстрировавшая, по словам Фонда, «значительную техническую изощрённость», началась 26 декабря в 23:25 по тихоокеанскому времени на блоке 137,363,398. Злоумышленник скоординированно развернул более 40 вредоносных смарт-контрактов. Уже через несколько минут началось производство поддельных токенов FLOW, которые стали поступать на депозитные адреса централизованных бирж.
В течение шести часов после первой подозрительной транзакции валидаторы сети инициировали координированную остановку сети (27 декабря, 05:23 PST, блок 137,390,190). К этому моменту часть поддельных токенов уже была выведена за пределы сети через мосты Celer, deBridge и Stargate.
По данным отчёта, атакующий попытался вывести на биржи 1,094 млрд поддельных токенов FLOW. Благодаря сотрудничеству с партнёрами-биржами, 484 434 923 FLOW (около 44% от общего объёма) были возвращены с OKX, Gate.io и MEXC и уничтожены. Ещё 98,7% оставшегося поддельного предложения изолировано в сети и ожидает уничтожения. Полное разрешение ситуации, включая координацию с другими биржами, ожидается в течение 30 дней.
Разработчики выбрали стратегию «изолированного восстановления», отказавшись от полного отката цепи (rollback), чтобы сохранить легитимную историю транзакций. Уязвимость была устранена, и сеть Flow полностью функционирует.
Нативная монета FLOW, упавшая после взлома примерно на 40% и достигшая минимума в $0,075 2 января, продемонстрировала восстановление. На фоне публикации отчёта и завершения плана восстановления токен вырос более чем на 14% за 24 часа, торгуясь около отметки $0,1015.
