Detalles de Flow: Exploit de 3.9 millones de dólares tras una falla en Cadence que permitió la duplicación de tokens

2026-01-07 15:21:14

Fuente: DefiPlanet Título original: Detalles del flujo, $3.9M de exploit tras una falla en Cadence que permitió la duplicación de tokens Enlace original:

Resumen rápido

Una falla en el entorno de ejecución de Cadence permitió la duplicación de tokens, lo que llevó a pérdidas confirmadas de $3.9M.
No se drenaron saldos de usuarios; la mayoría de los activos falsificados fueron congelados antes de la liquidación.
Flow ha corregido el problema y ha implementado medidas de seguridad y monitoreo más estrictas.

Detalles técnicos

La Fundación Flow publicó un análisis post-mortem técnico explicando un exploit a nivel de protocolo que permitió a un atacante falsificar tokens en la red, causando unas pérdidas estimadas de $3.9 millones antes de que se contuviera el incidente.

El exploit, que ocurrió el 27 de diciembre, se originó por una falla en el entorno de ejecución de Cadence de Flow que permitía duplicar ciertos activos en lugar de acuñarlos correctamente. Esto evitó los controles de suministro, pero no implicó drenaje o acceso a los saldos existentes de los usuarios.

Los validadores identificaron la actividad maliciosa y coordinaron una parada de la red en seis horas desde la primera transacción de exploit. Durante la pausa, la blockchain se puso en modo de solo lectura para evitar más duplicaciones de activos, mientras que los principales socios de intercambio congelaron la mayoría de los tokens falsificados antes de que pudieran venderse.

Flow indicó que las operaciones normales se reanudaron dos días después tras un proceso de “recuperación aislada” que preservó el historial de transacciones legítimas y permitió la recuperación y destrucción permanente de los activos falsificados mediante aprobación de gobernanza.

La Fundación enfatizó que no se robaron fondos de usuarios, ya que el exploit involucró duplicación en lugar de eliminación de activos. Un pequeño número de cuentas que interactuaron con tokens falsificados fueron restringidas temporalmente, mientras que más del 99% de los usuarios mantuvieron acceso completo durante toda la recuperación.

Parche de seguridad y medidas futuras

Aunque el atacante creó un gran volumen de tokens falsificados en la cadena, Flow dijo que la mayoría fue contenida o congelada antes de que pudiera ocurrir la liquidación.

La vulnerabilidad subyacente ya ha sido corregida, con la Fundación introduciendo controles de entorno de ejecución más estrictos, pruebas de regresión ampliadas y herramientas de monitoreo mejoradas. Flow también está trabajando con especialistas forenses y fuerzas del orden, comprometiéndose a programas más fuertes de recompensas por errores y fortalecimiento de la seguridad en el futuro.

Contexto del mercado

Flow fue lanzado por Dapper Labs en 2019 para apoyar aplicaciones blockchain centradas en el consumidor, ganando tracción temprana a través de NBA Top Shot, que ayudó a impulsar el token FLOW por encima de $40 durante el auge de los NFT en 2021.

El proyecto recaudó aproximadamente $725 millones en 2022 de inversores, incluyendo Andreessen Horowitz y Union Square Ventures, pero el impulso se desaceleró a medida que la actividad de NFT disminuyó. Desde entonces, FLOW ha caído fuera de las 300 principales criptomonedas por capitalización de mercado.

FLOW-0,39%

Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.