Post-Mortem Rapport om Flow Blockchain Udnyttelse
En post-mortem rapport om udnyttelsen af Flow blockchain den 27. december har detaljeret en protokolniveau udnyttelse, der gjorde det muligt for angriberen at duplikere fungible tokens og tømme cirka $3,9 millioner i værdi.
“Angrebet viste betydelig teknisk sofistikation. Angriberen deployerede over 40 ondsindede smart contracts i en koordineret sekvens,” sagde rapporten offentliggjort af Flow Foundation.
Angriberen formåede at udnytte en alvorlig fejl i Cadence eksekveringslag (v1.8.8), der gjorde det muligt for dem at skjule et beskyttet aktiv, som burde være ikke-kopierbart, som en standard datastruktur, der kan kopieres. For at sige det enkelt, var angriberen i stand til at duplikere tokens i stedet for at præge dem, hvilket også er grunden til, at eksisterende brugerbalancer ikke blev direkte påvirket.
Flow-validatorer var dog i stand til at igangsætte en netværksstop inden for seks timer efter den første ondsindede transaktion, og de midler, der allerede var sendt til centraliserede børser, blev fryset af børs-partnere. “1.094 milliarder falske FLOW blev indsat af angriberen på tværs af flere centraliserede børser. Af dette er 484.434.923 FLOW allerede blevet returneret af samarbejdende børs-partnere OKX, Gate.io og MEXC og destrueret,” tilføjede rapporten.
I mellemtiden har Flow taget skridt til at isolere 98,7% af den resterende falske forsyning, som nu venter på destruktion. Mens Foundation fortsætter med at arbejde med yderligere børs-partnere for at genvinde de resterende aktiver, har den aktiveret en protokolniveau sikkerhed ved at begrænse alle angriber-relaterede indbetalingsadresser på eksekveringslaget. Dette er blevet gjort, så de falske tokens ikke kan trækkes tilbage, broes eller overføres, indtil de returneres til destruktion.
Ifølge fonden er sårbarheden blevet rettet, og Flow-netværket er fuldt operationelt. Udviklerne valgte en “isolationsgenopretnings” plan i stedet for den fulde kæde-rollback, som de oprindeligt søgte. Som tidligere rapporteret af crypto.news, blev dette gjort for at bevare legitim transaktionshistorik og muliggøre destruktion af falske aktiver gennem en governance-godkendt proces.
FLOW, blockchainens native token, har formået at stage en rebound siden genopretningsplanen blev afsluttet, og fonden efterfølgende frigav post-mortem. Efter at være faldet omkring 40% over fem timer efter hacken den 27. december, fortsatte FLOW med at glide til et lavpunkt på $0.075 den 2. januar, før den begyndte at komme sig, da netværket blev operationelt. I de sidste 24 timer er tokenet steget med over 14% og blev handlet til $0.1015, da denne tekst blev skrevet.
