Подробности о взломе на сумму $3.9M после обнаружения уязвимости Cadence, которая позволила дублирование токенов

Источник: DefiPlanet Оригинальный заголовок: Детали атаки на сумму $3.9M после уязвимости Cadence, позволившей дублирование токенов Оригинальная ссылка:

Быстрый обзор

• Уязвимость в среде выполнения Cadence позволила дублировать токены, что привело к подтвержденным потерям на сумму $3.9M.
• Балансы пользователей не были исчерпаны; большинство поддельных активов было заморожено до ликвидации.
• Flow исправила проблему и внедрила более строгие меры безопасности и мониторинга.

Технические детали

Фонд Flow выпустил технический разбор, объясняющий уязвимость на уровне протокола, которая позволила злоумышленнику подделывать токены в сети, что привело к потерям примерно на $3.9 миллиона, пока инцидент не был локализован.

Уязвимость, произошедшая 27 декабря, возникла из-за дефекта в среде выполнения Cadence, который позволял дублировать определённые активы вместо их правильного создания. Это обошло контроль за поставками, но не включало слив или доступ к существующим балансам пользователей.

Валидаторы обнаружили вредоносную активность и координировали остановку сети в течение шести часов после первой транзакции с уязвимостью. Во время паузы блокчейн был переведен в режим только для чтения, чтобы предотвратить дальнейшее дублирование активов, а крупные партнеры-обменники заморозили большинство поддельных токенов, прежде чем их удалось продать.

Flow заявил, что нормальная работа возобновилась через два дня после «изолированного восстановления», которое сохранило историю легитимных транзакций и позволило восстановить и навсегда уничтожить поддельные активы с одобрения управления.

Фонд подчеркнул, что средства пользователей не были украдены, так как уязвимость касалась дублирования, а не удаления активов. Небольшое число аккаунтов, взаимодействовавших с поддельными токенами, было временно ограничено, в то время как более 99% пользователей сохранили полный доступ на протяжении всего восстановления.

Исправление безопасности и будущие меры

Хотя злоумышленник создал большое количество поддельных токенов в сети, большинство из них было локализовано или заморожено до возможности ликвидации.

Уязвимость была исправлена, и Фонд внедрил более строгие проверки среды выполнения, расширенное тестирование регрессии и улучшенные инструменты мониторинга. Flow также сотрудничает с экспертами по судебной экспертизе и правоохранительными органами, а также обещает усилить программы по поиску уязвимостей и укреплению безопасности.

Контекст рынка

Flow был запущен Dapper Labs в 2019 году для поддержки приложений на блокчейне, ориентированных на потребителей, и получил ранний успех благодаря NBA Top Shot, что помогло поднять токен FLOW выше $40 во время NFT-бумa 2021 года.

Проект собрал примерно $725 миллионов долларов в 2022 году от инвесторов, включая Andreessen Horowitz и Union Square Ventures, но темпы роста замедлились после снижения активности в сфере NFT. В настоящее время FLOW опустился за пределы топ-300 криптовалют по рыночной капитализации.