FlowがCadenceランタイムの型混同の脆弱性を390万ドルのエクスプロイトの原因として指摘

Flowは2026年1月6日にインシデント後の報告書を公開し、390万ドルの攻撃の根本原因について説明した。

攻撃者はCadenceランタイムの型混同の脆弱性を悪用してトークンを偽造した。Flowは既存のユーザー残高がアクセスされたり侵害されたりしていないと述べた。

Flowは型混同の脆弱性を攻撃の根本原因として特定

Flowにより、型混同の脆弱性が主な原因であることが判明した。この脆弱性により、攻撃者は保護された資産を通常のデータ構造に偽装することで、ランタイムセーフティチェックを回避することが可能になった。攻撃者は約40の悪意のあるスマートコントラクトの実行を調整した。

攻撃は2025年12月26日23:25 PST、ブロック高137,363,398で開始された。最初のデプロイから数分後、偽造トークンの生成が始まった。攻撃者は複製可能な標準データ構造を使用して、複製不可能であるべき保護された資産を偽装した。Cadenceの移動のみのセマンティクスを利用することで、トークンの偽造が可能になった。

CadenceとフルEVM互換環境は、Flowが実行する2つの統合プログラミング環境である。今回のケースでは、攻撃はCadenceを標的とした。

最初の悪意のあるトランザクションから6時間以内にネットワークがダウン

12月27日5:23 PST、ブロック高137,390,190で、Flowバリデーターは調整されたネットワーク停止を開始した。すべての逃げ道が遮断され、停止は最初の悪意のあるトランザクションから6時間以内に発生した。

12月26日23:42 PSTまでに、偽造FLOWは中央集権型取引所の入金口座に移動されていた。そのサイズと不規則性により、取引所に送られた大量のFLOW振替のほとんどは受領時に凍結された。12月27日0:06 PSTから、一部の資産がCeler、deBridge、Stargateを使用してネットワーク外にブリッジされた。

1:30 PSTに最初の検知信号が発せられた。この時点で、取引所への入金は異常なクロスVM FLOW移動と相関していた。1:00 PSTから偽造FLOWが強制決済され始めると、中央集権型取引所は大きな売り圧力に直面した。

取引所が4億8400万の偽造FLOWトークンを返還

Flowによると、攻撃者は複数の中央集権型取引所に10億9400万の偽造FLOWを入金した。取引所パートナーのGate.io、MEXC、OKXが484,434,923 FLOWを返還し、これは破棄された。残りの偽造品供給の98.7%はオンチェーンで隔離され、破棄処理中である。完全な解決は30日以内に見込まれ、他の取引所パートナーとの調整は現在も進行中である。

コミュニティがチェックポイント復元を含むいくつかの回復オプションを評価した後、回復戦略が選択された。Flowはインフラストラクチャパートナー、ブリッジ運営者、取引所とエコシステム全体の協議を実施した。

Flowの390万ドルの攻撃は、2025年12月下旬から2026年1月上旬に暗号資産プロトコルに影響を与えたセキュリティインシデントの類似パターン内で発生した。BtcTurkは2026年1月1日に4800万ドルのホットウォレット侵害を受けた。ハッカーは中央集権型取引所のホットウォレットインフラストラクチャを侵害し、イーサリアムブロックチェーン、Arbitrum、Polygon、その他のチェーン全体で資金を流出させた。

バイナンスは1月1日にBROCCOLIトークンに関するマーケットメーカーアカウント操作インシデントを経験した。

あなたのプロジェクトを暗号資産のトップマインドの前に出したいですか?データがインパクトと出会う次の業界レポートで取り上げてください。