Flow culpa vulnerabilidade de confusão de tipo de runtime do Cadence por exploit de 3,9 milhões de dólares

A Flow publicou um relatório pós-incidente a 6 de janeiro de 2026, discutindo a causa raiz da sua exploração de 3,9 milhões de dólares.

Um atacante explorou uma vulnerabilidade de confusão de tipo no runtime Cadence para forjar tokens. A Flow afirmou que nenhum saldo de utilizador existente foi acedido ou comprometido.

Flow identifica vulnerabilidade de confusão de tipo como causa raiz da exploração

Uma vulnerabilidade de confusão de tipo foi identificada pela Flow como a causa principal. A vulnerabilidade permitiu ao atacante contornar verificações de segurança do runtime ao disfarçar um ativo protegido como uma estrutura de dados regular. O atacante coordenou a execução de cerca de 40 contratos inteligentes maliciosos.

O ataque começou na altura do bloco 137.363.398 a 26 de dezembro de 2025, às 23:25 PST. Minutos após a primeira implementação, a produção de tokens contrafeitos começou. O atacante utilizou estruturas de dados padrão que são replicáveis para disfarçar ativos protegidos que deveriam ser não copiáveis. Ao tirar partido da semântica de movimento único do Cadence, isto tornou possível a contrafação de tokens.

Cadence e um ambiente totalmente equivalente à EVM são os dois ambientes de programação integrados executados pela Flow. Neste caso, a exploração teve como alvo o Cadence.

Rede encerrada dentro de seis horas após a transação maliciosa inicial

A 27 de dezembro, na altura do bloco 137.390.190, os validadores da Flow iniciaram uma pausa coordenada da rede às 05:23 PST. Todas as rotas de fuga foram cortadas, e a paragem ocorreu menos de seis horas após a transação maliciosa inicial.

FLOW contrafeito estava a ser movido para contas de depósito de exchanges centralizadas a 26 de dezembro às 23:42 PST. Devido ao seu tamanho e irregularidade, a maioria das grandes transferências de FLOW que foram enviadas para exchanges foram congeladas após receção. A partir das 00:06 PST de 27 de dezembro, alguns ativos foram transferidos para fora da rede usando Celer, deBridge e Stargate.

Às 01:30 PST, os primeiros sinais de deteção foram levantados. Neste ponto, os depósitos em exchanges foram correlacionados com movimentos anómalos de FLOW entre VMs. À medida que o FLOW contrafeito foi liquidado a partir da 1:00 PST, as exchanges centralizadas enfrentaram pressão de venda significativa.

Exchanges devolvem 484 milhões de tokens FLOW contrafeitos

Segundo a Flow, o atacante depositou 1,094 mil milhões de FLOW falsos em várias exchanges centralizadas. Os parceiros de exchange Gate.io, MEXC e OKX devolveram 484.434.923 FLOW, que foi destruído. 98,7% do fornecimento restante de produtos contrafeitos foi isolado onchain e está em processo de destruição. A resolução completa é antecipada em 30 dias, e a coordenação com outros parceiros de exchange ainda está em progresso.

Depois de a comunidade avaliar várias opções de recuperação de ativos, incluindo restauração de checkpoint, a estratégia de recuperação foi escolhida. A Flow realizou consultas em todo o ecossistema com parceiros de infraestrutura, operadores de cadeia cross-chain e exchanges.

A exploração de 3,9 milhões de dólares da Flow aconteceu dentro de um padrão semelhante de incidentes de segurança que afetaram protocolos cripto no final de dezembro de 2025 e início de janeiro de 2026. A BtcTurk sofreu uma violação de hot wallet de 48 milhões de dólares a 1 de janeiro de 2026. Hackers comprometeram a infraestrutura de hot wallet da exchange centralizada e desviaram fundos através do Ethereum, Arbitrum, Polygon e outras blockchains.

A Binance experienciou um incidente de manipulação de conta de market maker a 1 de janeiro envolvendo o token BROCCOLI.

Quer o seu projeto em frente às mentes mais importantes das criptomoedas? Apresente-o no nosso próximo relatório da indústria, onde os dados encontram o impacto.