Post-Mortem Rapport om Flow Blockchain Angrep
En post-mortem-rapport om utnyttelsen av Flow blockchain den 27. desember har avdekket en protokollfeil som tillot angriperen å duplisere fungible tokens og tømme omtrent $3,9 millioner i verdi.
«Angrepet viste betydelig teknisk sofistikering. Angriperen distribuerte over 40 ondsinnede smarte kontrakter i en koordinert sekvens,» uttalte rapporten publisert av Flow Foundation.
Angriperen klarte å utnytte en alvorlig feil i Cadence utførelseslag (v1.8.8), som tillot dem å skjule en beskyttet eiendel, som skulle være ikke-kopierbar, som en standard datastruktur som kan kopieres. Enkelt sagt, angriperen var i stand til å duplisere tokens i stedet for å mynte dem, noe som også er grunnen til at eksisterende brukerbalanser ikke ble direkte påvirket.
Imidlertid klarte Flow-validatorene å initiere en nettverksstans innen seks timer etter den første ondsinnede transaksjonen, og midlene som allerede var sendt til sentraliserte børser ble fryset av børs-partnere.
«1,094 milliarder falske FLOW ble deponert av angriperen på flere sentraliserte børser. Av dette har 484,434,923 FLOW allerede blitt returnert av samarbeidsvillige børs-partnere som OKX, Gate.io og MEXC, og deretter ødelagt,» la rapporten til.
I mellomtiden har Flow tatt skritt for å isolere 98,7 % av den gjenværende falske forsyningen, som nå venter på ødeleggelse. Mens stiftelsen fortsetter å samarbeide med flere børs-partnere for å gjenvinne de gjenværende eiendelene, har den aktivert en protokollnivå sikkerhetsmekanisme ved å begrense alle angriper-relaterte deponeringsadresser på utførelseslaget. Dette er gjort for å hindre at de falske tokens kan tas ut, broes eller overføres før de returneres for ødeleggelse.
Ifølge stiftelsen er sårbarheten nå tettet, og Flow-nettverket er fullt operativt. Utviklerne valgte en «isolert gjenopprettingsplan» i stedet for den fullstendige kjede-tilbakeføringen de først søkte. Som tidligere rapportert av crypto.news, ble dette gjort for å bevare legitim transaksjonshistorikk og tillate ødeleggelse av falske eiendeler gjennom en styrt godkjent prosess.
FLOW, den innfødte token til blockchain, har klart å oppnå en oppgang siden gjenopprettingsplanen ble fullført og stiftelsen deretter publiserte post-mortem. Etter å ha falt rundt 40 % over fem timer etter hackingen den 27. desember, fortsatte FLOW å glide ned til et lavpunkt på $0,075 den 2. januar før den begynte å komme seg etter hvert som nettverket ble operativt igjen. I løpet av de siste 24 timene har tokenet steget over 14 % og ble handlet til $0,1015 da dette ble skrevet.
