Rapporto Post-Mortem sull’Exploits della Blockchain Flow
Un rapporto post-mortem sull’exploit avvenuto il 27 dicembre sulla blockchain Flow ha rivelato un difetto a livello di protocollo che ha consentito all’attaccante di duplicare token fungibili, causando una perdita di circa 3,9 milioni di dollari.
“L’attacco ha dimostrato una notevole sofisticazione tecnica. L’attaccante ha distribuito oltre 40 contratti smart malevoli in una sequenza coordinata,” ha dichiarato il rapporto pubblicato dalla Flow Foundation.
Dettagli dell’Attacco
Gli attaccanti sono riusciti a sfruttare un’importante vulnerabilità nel layer di esecuzione Cadence (v1.8.8), che ha permesso loro di mascherare un asset protetto, normalmente non copiabile, come una struttura dati standard che può essere duplicata. In termini semplici, l’attaccante è riuscito a duplicare i token anziché coniarli, il che ha fatto sì che i saldi degli utenti esistenti non venissero direttamente compromessi.
Tuttavia, i validatori di Flow sono stati in grado di avviare un’interruzione della rete entro sei ore dalla prima transazione malevola, e i fondi già inviati a scambi centralizzati sono stati congelati dai partner di scambio.
“1,094 miliardi di FLOW contraffatti sono stati depositati dall’attaccante in diversi scambi centralizzati. Di questi, 484.434.923 FLOW sono già stati restituiti dai partner di scambio cooperativi OKX, Gate.io e MEXC e distrutti,” ha aggiunto il rapporto.
Misure di Sicurezza e Recupero
Nel frattempo, Flow ha adottato misure per isolare il 98,7% dell’offerta contraffatta rimanente, che è ora in attesa di distruzione. Mentre la Fondazione continua a collaborare con ulteriori partner di scambio per recuperare gli asset rimanenti, ha attivato una rete di protezione a livello di protocollo limitando tutti gli indirizzi di deposito collegati all’attaccante nel layer di esecuzione. Questo è stato fatto affinché i token contraffatti non possano essere ritirati, trasferiti o scambiati fino a quando non saranno restituiti per la distruzione.
Secondo la Fondazione, la vulnerabilità è stata corretta e la rete Flow è completamente operativa. Gli sviluppatori hanno optato per un piano di “recupero isolato” invece del rollback completo della catena inizialmente previsto. Come riportato in precedenza da crypto.news, questa scelta è stata fatta per preservare la storia delle transazioni legittime e consentire la distruzione degli asset contraffatti attraverso un processo approvato dalla governance.
Impatto sul Token FLOW
Il token nativo della blockchain, FLOW, ha registrato un rimbalzo da quando il piano di recupero è stato completato e la Fondazione ha successivamente pubblicato il post-mortem. Dopo essere crollato di circa il 40% in cinque ore a seguito dell’hack del 27 dicembre, FLOW ha continuato a scivolare fino a un minimo di 0,075 dollari il 2 gennaio, prima di iniziare a recuperare man mano che la rete tornava operativa. Nelle ultime 24 ore, il token è aumentato di oltre il 14% ed era scambiato a 0,1015 dollari al momento della scrittura.
