Flow đổ lỗi cho lỗ hổng nhầm lẫn kiểu runtime Cadence trong vụ khai thác 3,9 triệu USD

Flow đã công bố báo cáo sau sự cố vào ngày 6 tháng 1 năm 2026, thảo luận về nguyên nhân gốc rễ của vụ tấn công trị giá 3,9 triệu USD.

Kẻ tấn công đã khai thác lỗ hổng nhầm lẫn kiểu dữ liệu trong thời gian chạy Cadence để tạo token giả mạo. Flow cho biết không có số dư của người dùng hiện tại nào bị truy cập hoặc xâm phạm.

Flow xác định lỗ hổng nhầm lẫn kiểu dữ liệu là nguyên nhân gốc rễ của vụ khai thác

Lỗ hổng nhầm lẫn kiểu dữ liệu đã được Flow xác định là nguyên nhân chính. Lỗ hổng này cho phép kẻ tấn công trốn tránh các kiểm tra an toàn trong thời gian chạy bằng cách ngụy trang tài sản được bảo vệ thành cấu trúc dữ liệu thông thường. Kẻ tấn công đã điều phối thực thi khoảng 40 hợp đồng thông minh độc hại.

Cuộc tấn công bắt đầu tại chiều cao khối 137,363,398 vào ngày 26 tháng 12 năm 2025, lúc 23:25 PST. Vài phút sau lần triển khai đầu tiên, việc sản xuất token giả mạo đã bắt đầu. Kẻ tấn công đã sử dụng các cấu trúc dữ liệu tiêu chuẩn có thể sao chép để ngụy trang các tài sản được bảo vệ vốn không thể sao chép. Bằng cách lợi dụng ngữ nghĩa chỉ di chuyển của Cadence, điều này đã cho phép việc giả mạo token.

Cadence và môi trường tương đương hoàn toàn với EVM là hai môi trường lập trình tích hợp do Flow vận hành. Trong trường hợp này, vụ khai thác đã nhắm vào Cadence.

Mạng ngừng hoạt động trong vòng sáu giờ sau giao dịch độc hại đầu tiên

Vào ngày 27 tháng 12, tại chiều cao khối 137,390,190, các trình xác thực của flow đã bắt đầu tạm dừng mạng có phối hợp lúc 05:23 PST. Tất cả các lối thoát đã bị chặn, và việc tạm dừng xảy ra chưa đầy sáu giờ sau giao dịch độc hại đầu tiên.

FLOW giả mạo đang được chuyển đến các tài khoản nộp tiền của sàn giao dịch tập trung vào ngày 26 tháng 12 lúc 23:42 PST. Do quy mô và tính bất thường của chúng, hầu hết các giao dịch chuyển FLOW lớn được gửi đến các sàn giao dịch đã bị đóng băng ngay khi nhận được. Bắt đầu từ 00:06 PST ngày 27 tháng 12, một số tài sản đã được chuyển ra khỏi mạng thông qua Celer, deBridge và Stargate.

Lúc 01:30 PST, các tín hiệu phát hiện đầu tiên đã được đưa ra. Tại thời điểm này, các khoản nộp tiền trên sàn giao dịch đã được liên kết với các chuyển động FLOW bất thường giữa các VM. Khi FLOW giả mạo bắt đầu được thanh lý từ 1:00 PST, các sàn giao dịch tập trung đã phải đối mặt với áp lực bán đáng kể.

Các sàn giao dịch trả lại 484 triệu token FLOW giả mạo

Theo Flow, kẻ tấn công đã nộp 1,094 tỷ FLOW giả trên một số sàn giao dịch tập trung. Các đối tác sàn giao dịch Gate.io, MEXC và OKX đã trả lại 484,434,923 FLOW, đã bị tiêu hủy. 98,7% nguồn cung hàng giả mạo còn lại đã được cô lập trên chuỗi và đang trong quá trình bị tiêu hủy. Việc giải quyết hoàn toàn dự kiến trong vòng 30 ngày, và việc phối hợp với các đối tác sàn giao dịch khác vẫn đang tiến hành.

Sau khi cộng đồng đánh giá một số phương án khôi phục, bao gồm khôi phục điểm kiểm tra, chiến lược khôi phục đã được lựa chọn. Flow đã tổ chức các cuộc tham vấn trên toàn hệ sinh thái với các đối tác cơ sở hạ tầng, nhà điều hành cầu nối và các sàn giao dịch.

Vụ khai thác trị giá 3,9 triệu USD của Flow đã xảy ra theo mô hình tương tự với các sự cố bảo mật ảnh hưởng đến các giao thức crypto vào cuối tháng 12 năm 2025 và đầu tháng 1 năm 2026. BtcTurk đã bị vi phạm ví nóng trị giá 48 triệu USD vào ngày 1 tháng 1 năm 2026. Tin tặc đã xâm phạm cơ sở hạ tầng ví nóng của sàn giao dịch tập trung và rút tiền trên Ethereum, Arbitrum, Polygon và các chuỗi khác.

Binance đã trải qua sự cố thao túng tài khoản nhà tạo lập thị trường vào ngày 1 tháng 1 liên quan đến token BROCCOLI.

Bạn muốn dự án của mình xuất hiện trước những bộ óc hàng đầu trong lĩnh vực crypto? Hãy đưa nó vào báo cáo ngành tiếp theo của chúng tôi, nơi dữ liệu gặp gỡ tác động.