Flow culpa a una vulnerabilidad de confusión de tipos en el runtime de Cadence por el exploit de $3.9M

Flow publicó un informe post-incidente el 6 de enero de 2026, discutiendo la causa raíz de su exploit de $3.9 millones.

Un atacante explotó una vulnerabilidad de confusión de tipos en el tiempo de ejecución de Cadence para falsificar tokens. Flow dijo que no se accedió ni se comprometió ningún saldo de usuario existente.

Flow identifica la vulnerabilidad de confusión de tipos como causa raíz del exploit

Flow encontró que una vulnerabilidad de confusión de tipos era la causa principal. La vulnerabilidad permitió al atacante evadir las verificaciones de seguridad en tiempo de ejecución al disfrazar un activo protegido como una estructura de datos regular. El atacante coordinó la ejecución de aproximadamente 40 contratos inteligentes maliciosos.

El ataque comenzó a la altura del bloque 137,363,398 el 26 de diciembre de 2025, a las 23:25 PST. Minutos después del primer despliegue, comenzó la producción de tokens falsificados. El atacante utilizó estructuras de datos estándar que son replicables para disfrazar activos protegidos que deberían ser imposibles de copiar. Al aprovechar la semántica de solo movimiento de Cadence, esto hizo posible la falsificación de tokens.

Cadence y un entorno completamente equivalente a EVM son los dos entornos de programación integrados ejecutados por Flow. En este caso, el exploit se dirigió a Cadence.

Red caída dentro de seis horas de la transacción maliciosa inicial

El 27 de diciembre, a la altura del bloque 137,390,190, los validadores de Flow iniciaron una pausa coordinada de la red a las 05:23 PST. Se cortaron todas las rutas de escape, y la detención ocurrió menos de seis horas después de la transacción maliciosa inicial.

FLOW falsificado estaba siendo movido a cuentas de depósito de exchanges centralizados el 26 de diciembre a las 23:42 PST. Debido a su tamaño e irregularidad, la mayoría de las grandes transferencias de FLOW que se enviaron a exchanges fueron congeladas al recibirlas. Comenzando a las 00:06 PST del 27 de diciembre, algunos activos fueron puenteados fuera de la red usando Celer, deBridge y Stargate.

A las 01:30 PST, se levantaron las primeras señales de detección. En este punto, los depósitos de exchange se correlacionaron con movimientos anómalos de FLOW entre VM. Cuando FLOW falsificado comenzó a liquidarse a partir de la 1:00 PST, los exchanges centralizados enfrentaron una presión de venta significativa.

Exchanges devuelven 484 millones de tokens FLOW falsificados

Según Flow, el atacante depositó 1.094 mil millones de FLOW falsos en varios exchanges centralizados. Los socios de exchange Gate.io, MEXC y OKX devolvieron 484,434,923 FLOW, que fueron destruidos. El 98.7% del suministro restante de productos falsificados ha sido aislado en cadena y está en proceso de ser destruido. Se anticipa una resolución completa en 30 días, y la coordinación con otros socios de exchange aún está en progreso.

Después de que la comunidad evaluara varias opciones de recuperación, incluyendo la restauración de punto de control, se eligió la estrategia de recuperación. Flow realizó consultas en todo el ecosistema con socios de infraestructura, operadores de puentes y exchanges.

El exploit de $3.9 millones de Flow ocurrió dentro de un patrón similar de incidentes de seguridad que afectaron a protocolos cripto a finales de diciembre de 2025 y principios de enero de 2026. BtcTurk sufrió una brecha de hot wallet de $48 millones el 1 de enero de 2026. Los hackers comprometieron la infraestructura de hot wallet del exchange centralizado y drenaron fondos a través de Ethereum, Arbitrum, Polygon y otras cadenas.

Binance experimentó un incidente de manipulación de cuenta de creador de mercado el 1 de enero involucrando el token BROCCOLI.

¿Quieres tu proyecto frente a las mentes más brillantes de las criptos? Preséntalo en nuestro próximo informe de la industria, donde los datos encuentran impacto.