La Fundació Flow va publicar dimarts un post-mortem tècnic que detallava una explotació a nivell de protocol que es va produir el 27 de desembre, quan un atacant va poder falsificar fitxes a la xarxa, la qual cosa va provocar pèrdues confirmades d’uns 3,9 milions de dòlars abans de contenir l’explotació.
Segons l’informe, l’atacant va explotar una fallada en el temps d’execució de Cadence de Flow que va permetre duplicar determinats actius en lloc d’encunyar-se, evitant els controls de subministrament sense accedir ni esgotar els saldos existents dels usuaris. Els validadors van coordinar l’aturada de la xarxa en les sis hores següents a la primera transacció maliciosa, mentre que els socis d’intercanvi van congelar la majoria dels actius falsificats abans que es poguessin vendre.
Flow va dir que l’aturada temporal va posar la xarxa en un mode de només lectura per tallar els camins de sortida i evitar més duplicacions mentre s’investigava el problema. Les operacions es van reprendre dos dies després sota un pla de “recuperació aïllada” que preservava l’historial de transaccions legítimes i autoritzava la recuperació i la destrucció permanent d’actius falsificats mitjançant un procés aprovat pel govern.
Font: Blockchain de flux
La Fundació Flow, que dóna suport a la xarxa Flow, va dir que no es va comprometre cap saldo d’usuaris existents, ja que l’explotació d’actius duplicava en lloc d’eliminar fons dels comptes. Un nombre limitat de comptes que interactuaven amb fitxes falses es van restringir temporalment com a precaució, mentre que més del 99% dels comptes van mantenir l’accés total durant i després de la recuperació.
Tot i que l’atacant va generar un gran volum de fitxes falses en cadena, Flow va dir que la gran majoria estaven contingudes o congelades abans de la liquidació.
La Fundació va dir que des de llavors ha corregit la vulnerabilitat subjacent, ha afegit comprovacions més estrictes de temps d’execució i ha ampliat les proves de regressió per evitar explotacions similars. També està treballant amb socis forenses i amb les forces de l’ordre i planeja reforçar els programes de supervisió i recompensa d’errors com a part d’un enduriment de seguretat més ampli.
Relacionats: Els NFT van passar a la utilitat i la cultura a mesura que el preu es va esvair el 2025
La caiguda de Flow després de la NFT
Dapper Labs, els creadors del projecte de testimoni no fungible CryptoKitties, van anunciar el desenvolupament de Flow el setembre de 2019 com una nova cadena de blocs de capa 1 dissenyada per abordar els reptes d’escalabilitat als quals s’enfronten aplicacions de consum com ara jocs i objectes de col·leccionisme digitals.
L’èxit inicial amb NBA Top Shot, una plataforma NFT per negociar vídeos destacats de l’NBA amb llicència oficial, va ajudar a cridar l’atenció general sobre la cadena de blocs Flow el 2020 i el 2021. En aquest context, el testimoni FLOW de la xarxa va superar els 40 dòlars el 2021, segons dades de CoinGecko.
L’impuls de Flow es va mantenir fins al 2022, on el projecte va recaptar uns 725 milions de dòlars d’inversors, inclosos Andreessen Horowitz (a16z) i Union Square Ventures, per donar suport al desenvolupament de l’ecosistema.
A mesura que l’activitat al mercat NFT es va refredar en els anys següents, el token FLOW també va perdre impuls i des de llavors ha caigut fora de les 300 principals criptomonedes per capitalització de mercat.
La caiguda es va accelerar després del pirateig del 27 de desembre, quan el FLOW va caure al voltant d’un 40% en cinc hores.
El testimoni va baixar més tard fins a un mínim de 0,075 dòlars el 2 de gener abans de començar a recuperar-se. Es cotitzava prop de 0,10 dòlars en el moment d’escriure, un augment al voltant del 16% durant les últimes 24 hores, segons dades de Cointelegraph.
Font: CoinGecko
Revista: Grans preguntes: sobreviuria Bitcoin a un tall elèctric de 10 anys?
