Flow menyalahkan kerentanan kebingungan tipe runtime Cadence untuk eksploitasi senilai $3,9 juta

Flow menerbitkan laporan pasca-insiden pada 6 Januari 2026, membahas akar penyebab eksploitasi senilai $3,9 juta.

Seorang penyerang mengeksploitasi kerentanan kebingungan tipe runtime Cadence untuk memalsukan token. Flow menyatakan tidak ada saldo pengguna yang diakses atau dikompromikan.

Flow mengidentifikasi kerentanan kebingungan tipe sebagai akar penyebab eksploitasi

Kerentanan kebingungan tipe ditemukan sebagai penyebab utama oleh Flow. Kerentanan tersebut memungkinkan penyerang menghindari pemeriksaan keamanan runtime dengan menyamarkan aset yang dilindungi sebagai struktur data biasa. Penyerang mengoordinasikan eksekusi sekitar 40 kontrak pintar berbahaya.

Serangan dimulai pada ketinggian blok 137.363.398 pada 26 Desember 2025, pukul 14:25 WIB. Beberapa menit setelah penerapan pertama, produksi token palsu dimulai. Penyerang menggunakan struktur data standar yang dapat direplikasi untuk menyamarkan aset yang dilindungi yang seharusnya tidak dapat disalin. Dengan memanfaatkan semantik move-only Cadence, ini memungkinkan pemalsuan token.

Cadence dan lingkungan yang sepenuhnya setara dengan EVM adalah dua lingkungan pemrograman terintegrasi yang dijalankan oleh Flow. Dalam kasus ini, eksploitasi menargetkan Cadence.

Jaringan down dalam enam jam setelah transaksi berbahaya pertama

Pada 27 Desember, pada ketinggian blok 137.390.190, validator Flow memulai jeda jaringan terkoordinasi pada pukul 20:23 WIB. Semua jalur pelarian terputus, dan penghentian terjadi kurang dari enam jam setelah transaksi berbahaya pertama.

FLOW palsu sedang dipindahkan ke akun deposit exchange terpusat pada 26 Desember pukul 14:42 WIB. Karena ukuran dan ketidakteraturannya, sebagian besar transfer FLOW besar yang dikirim ke exchange dibekukan saat diterima. Dimulai pada pukul 15:06 WIB tanggal 27 Desember, beberapa aset dijembatani keluar dari jaringan menggunakan Celer, deBridge, dan Stargate.

Pada pukul 16:30 WIB, sinyal deteksi pertama muncul. Pada titik ini, deposit exchange berkorelasi dengan pergerakan FLOW lintas-VM yang anomali. Saat FLOW palsu dilikuidasi mulai pukul 16:00 WIB, exchange terpusat menghadapi tekanan jual yang signifikan.

Exchange mengembalikan 484 juta token FLOW palsu

Menurut Flow, penyerang menyetor 1,094 miliar FLOW palsu di beberapa exchange terpusat. Mitra exchange Gate.io, MEXC, dan OKX mengembalikan 484.434.923 FLOW, yang kemudian dihancurkan. 98,7% dari sisa pasokan barang palsu telah diisolasi onchain dan sedang dalam proses pemusnahan. Penyelesaian penuh diantisipasi dalam 30 hari, dan koordinasi dengan mitra exchange lainnya masih berlangsung.

Setelah komunitas mengevaluasi beberapa opsi pemulihan, termasuk pemulihan checkpoint, strategi pemulihan dipilih. Flow mengadakan konsultasi di seluruh ekosistem dengan mitra infrastruktur, operator bridge, dan exchange.

Eksploitasi $3,9 juta Flow terjadi dalam pola serupa insiden keamanan yang mempengaruhi protokol kripto pada akhir Desember 2025 dan awal Januari 2026. BtcTurk mengalami pelanggaran hot wallet senilai $48 juta pada 1 Januari 2026. Peretas mengkompromikan infrastruktur hot wallet exchange terpusat dan menyedot dana di seluruh Ethereum, Arbitrum, Polygon dan chain lainnya.

Binance mengalami insiden manipulasi akun market maker pada 1 Januari yang melibatkan token BROCCOLI.

Ingin proyek Anda di depan para pemikir top kripto? Tampilkan dalam laporan industri kami berikutnya, di mana data bertemu dampak.