Informe Post-Mortem del Exploit en la Blockchain de Flow
Un informe post-mortem sobre el exploit ocurrido el 27 de diciembre en la blockchain de Flow ha detallado un fallo a nivel de protocolo que permitió al atacante duplicar tokens fungibles y drenar aproximadamente $3.9 millones en valor.
«El ataque demostró una sofisticación técnica significativa. El atacante desplegó más de 40 contratos inteligentes maliciosos en una secuencia coordinada»
, señala el informe publicado por la Flow Foundation.
Detalles del Ataque
Los atacantes lograron explotar un fallo importante en la capa de ejecución de Cadence (v1.8.8), que les permitió disfrazar un activo protegido, que debería ser no copiables, como una estructura de datos estándar que puede ser copiada. En términos simples, el atacante pudo duplicar tokens en lugar de acuñarlos, lo que explica por qué los saldos de los usuarios existentes no se vieron afectados directamente.
Respuesta de la Red Flow
Sin embargo, los validadores de Flow pudieron iniciar una pausa en la red dentro de las seis horas posteriores a la primera transacción maliciosa, y los fondos ya enviados a intercambios centralizados fueron congelados por los socios de intercambio.
«1.094 mil millones de FLOW falsificados fueron depositados por el atacante en múltiples intercambios centralizados. De esta cantidad, 484,434,923 FLOW ya han sido devueltos por los socios de intercambio cooperativos OKX, Gate.io y MEXC y destruidos»
, agregó el informe.
Mientras tanto, Flow ha tomado medidas para aislar el 98.7% del suministro restante de falsificaciones, que ahora está pendiente de destrucción. A medida que la Fundación continúa trabajando con socios de intercambio adicionales para recuperar los activos restantes, ha habilitado un respaldo a nivel de protocolo al restringir todas las direcciones de depósito vinculadas al atacante en la capa de ejecución. Esto se ha hecho para que los tokens falsificados no puedan ser retirados, transferidos o puenteados hasta que sean devueltos para su destrucción.
Corrección de la Vulnerabilidad y Recuperación del Token FLOW
Según la fundación, la vulnerabilidad ha sido corregida y la red Flow está completamente operativa. Los desarrolladores optaron por un plan de «recuperación aislada» en lugar de la reversión completa de la cadena que inicialmente buscaban. Como se informó anteriormente por crypto.news, esta decisión se tomó para preservar el historial de transacciones legítimas y permitir la destrucción de activos falsificados a través de un proceso aprobado por gobernanza.
FLOW, el token nativo de la blockchain, ha logrado recuperarse desde que se completó el plan de recuperación y la Fundación posteriormente publicó el análisis post mortem. Después de caer alrededor del 40% en cinco horas tras el hackeo del 27 de diciembre, FLOW continuó deslizándose hasta un mínimo de $0.075 el 2 de enero antes de comenzar a recuperarse a medida que la red se volvía operativa. En las últimas 24 horas, el token ha subido más del 14% y se estaba negociando a $0.1015 al momento de escribir.
