Rincian Alur $3.9M Eksploit Setelah Celah Cadence Mengizinkan Duplikasi Token

Sumber: DefiPlanet Judul Asli: Rincian alur $3.9M eksploit setelah cacat Cadence memungkinkan duplikasi token Tautan Asli:

Ringkasan Cepat

• Cacat runtime Cadence memungkinkan duplikasi token, menyebabkan kerugian terkonfirmasi sebesar $3.9 juta.
• Tidak ada saldo pengguna yang dikuras; sebagian besar aset palsu dibekukan sebelum dilikuidasi.
• Flow telah memperbaiki masalah dan meluncurkan langkah keamanan dan pemantauan yang lebih ketat.

Rincian Teknis

Yayasan Flow merilis analisis pasca kejadian yang menjelaskan eksploitasi tingkat protokol yang memungkinkan penyerang untuk memalsukan token di jaringan, menyebabkan kerugian diperkirakan sebesar $3.9 juta sebelum insiden dikendalikan.

Eksploitasi, yang terjadi pada 27 Desember, berasal dari cacat dalam runtime Cadence Flow yang memungkinkan aset tertentu diduplikasi alih-alih dicetak dengan benar. Ini melewati kontrol pasokan tetapi tidak melibatkan pengurasan atau akses ke saldo pengguna yang ada.

Validator mengidentifikasi aktivitas berbahaya tersebut dan mengoordinasikan penghentian jaringan dalam waktu enam jam setelah transaksi eksploitasi pertama. Selama penangguhan, blockchain ditempatkan dalam keadaan baca-saja untuk mencegah duplikasi aset lebih lanjut, sementara mitra bursa utama membekukan sebagian besar token palsu sebelum mereka dapat dijual.

Flow mengatakan operasi normal dilanjutkan dua hari kemudian setelah proses “pemulihan terisolasi” yang mempertahankan riwayat transaksi yang sah dan memungkinkan pemulihan serta penghancuran permanen aset palsu melalui persetujuan tata kelola.

Yayasan menegaskan bahwa tidak ada dana pengguna yang dicuri, karena eksploitasi melibatkan duplikasi bukan penghapusan aset. Sejumlah kecil akun yang berinteraksi dengan token palsu sementara dibatasi, sementara lebih dari 99% pengguna tetap memiliki akses penuh selama proses pemulihan.

Patch Keamanan dan Langkah Masa Depan

Meskipun penyerang menciptakan volume besar token palsu di chain, Flow mengatakan sebagian besar telah dikendalikan atau dibekukan sebelum dilikuidasi.

Kerentanan dasar telah diperbaiki, dengan Yayasan memperkenalkan pemeriksaan runtime yang lebih ketat, pengujian regresi yang diperluas, dan alat pemantauan yang ditingkatkan. Flow juga bekerja sama dengan spesialis forensik dan penegak hukum, sambil berkomitmen pada program bug bounty dan penguatan keamanan yang lebih kuat ke depan.

Konteks Pasar

Flow diluncurkan oleh Dapper Labs pada 2019 untuk mendukung aplikasi blockchain yang berfokus pada konsumen, mendapatkan daya tarik awal melalui NBA Top Shot, yang membantu mendorong token FLOW di atas $40 selama ledakan NFT 2021.

Proyek ini mengumpulkan sekitar $725 juta pada 2022 dari investor, termasuk Andreessen Horowitz dan Union Square Ventures, tetapi momentum melambat karena aktivitas NFT menurun. Sejak itu, FLOW telah turun di luar 300 besar cryptocurrency berdasarkan kapitalisasi pasar.