Виявлено вразливість фальшивих токенів Flow! За 5 годин зниження на 40%, втрата 3,9 мільйонів доларів

Flow фондова організація розкрила збитки у розмірі 3,9 мільйонів доларів США внаслідок вразливості протоколу 27 грудня. Зловмисники використали дефект Cadence для копіювання активів замість їх крадіжки, що призвело до тимчасової зупинки мережі на 6 годин. FLOW за 5 годин впав на 40%, з 40 доларів у 2021 році до 0,075 долара. Flow створено Dapper Labs, яке раніше отримало інвестиції від a16z у розмірі 725 мільйонів доларів.

Аналіз технічної вразливості протоколу для копіювання токенів

Вівторка, Flow фондова організація опублікувала технічний звіт, що детально описує інцидент вразливості протоколу 27 грудня. Зловмисники використали вразливість у середовищі Cadence, яка дозволяла копіювати певні активи без їх створення, обходячи контроль над пропозицією, без доступу або витрат існуючих балансів користувачів.

Такий спосіб атаки є надзвичайно рідкісним у історії безпеки блокчейнів. Традиційні хакерські атаки зазвичай полягають у крадіжці приватних ключів або використанні вразливостей смарт-контрактів для виведення активів, але вразливість Flow дозволила зловмисникам «копіювати» токени, подібно до фотокопіювання грошей на фотокопіювальній машині. Оскільки атака копіювала активи, а не крала кошти з рахунків, баланс користувачів залишився незмінним. Це ускладнює виявлення вразливості на початкових етапах, оскільки користувачі не помічають зменшення своїх балансів.

Після першої зловмисної транзакції за шість годин валідатори координували тимчасове призупинення мережі, а партнерські біржі заблокували активи до того, як більша частина підроблених активів була продана. Flow заявив, що цей тимчасовий режим «тільки для читання» був запроваджений для відключення каналів виходу та запобігання подальшому копіюванню даних, одночасно розслідуючи проблему.

Через два дні операція відновилася відповідно до плану «ізоляційного відновлення», що зберігало легальні записи транзакцій і дозволяло через затверджені керівництвом процеси вилучати та постійно знищувати підроблені активи. Хоча зловмисники створили багато підроблених токенів у мережі, Flow заявив, що більшість з них були контрольовані або заблоковані до їх ліквідації. Як запобіжний захід, кілька облікових записів, що взаємодіяли з підробленими токенами, були тимчасово обмежені у доступі, тоді як понад 99% облікових записів залишилися повністю доступними під час і після відновлення.

Хронологія інциденту вразливості Flow та процеси реагування

27 грудня — перша атака: хакери використали вразливість Cadence для копіювання токенів

6 годин — тимчасова зупинка мережі: валідатори перейшли у режим «тільки для читання», перекривши шлях атаки

Екстрене блокування бірж: партнерські платформи заблокували активи до продажу більшості підроблених токенів

Через два дні — відновлення ізоляції: збережено легальні транзакції, знищено підроблені активи, 99% облікових записів залишилися незмінними

Від 40 доларів до 0,075 долара — довгий спад

(джерело: CoinGecko)

Несхожий на інші проєкт NFT CryptoKitties, засновник Dapper Labs у вересні 2019 року оголосив про розробку Flow — нової блокчейн-платформи рівня 1, яка має вирішити проблеми масштабованості для ігор і цифрових колекцій. Попередній успіх NBA Top Shot (NFT-платформа для торгівлі офіційними відео з NBA) допоміг залучити увагу до Flow у 2020 та 2021 роках.

На тлі цього, за даними CoinGecko, токен FLOW у 2021 році піднявся вище 40 доларів. Розвиток Flow тривав і у 2022 році, коли проєкт залучив близько 725 мільйонів доларів від інвесторів, таких як Andreessen Horowitz (a16z) та Union Square Ventures, для підтримки екосистеми. Така підтримка від провідних інституцій зробила Flow на той час лідером у сфері NFT-інфраструктури.

Зі зниженням інтересу до NFT у наступні роки, капіталізація FLOW знизилася і покинула топ-300 криптовалют. Після інциденту 27 грудня ціна FLOW швидко впала приблизно на 40% за п’ять годин. 2 січня ціна опустилася до мінімуму 0,075 долара, але згодом почала відновлюватися. За даними Cointelegraph, станом на момент публікації ціна становить близько 0,10 долара, за останні 24 години виросла приблизно на 16%.

З 40 доларів до 0,075 долара — падіння понад 99,8%, що є екстремальним навіть для криптовалютного ринку. Спад Flow відображає загальну кризу інфраструктури NFT, коли після спекулятивного буму проєкти без реального застосування швидко викидаються з ринку.

Виправлення вразливості та майбутні заходи безпеки

Фондова організація заявила, що вони виправили базову вразливість, посилили перевірки під час роботи системи та розширили регресійне тестування, щоб запобігти подібним атакам. Також вони співпрацюють із партнерами з розслідувань та правоохоронними органами, планують посилити моніторинг і програми винагород за вразливості як частину ширших заходів безпеки.

Такий всеохоплюючий реагування є необхідним, але також виявляє недоліки у початковому проектуванні Flow. Cadence — основна мова смарт-контрактів Flow — має вразливість, що дозволяє копіювання активів, що свідчить про недоліки у аудиту коду та тестуванні безпеки. Для блокчейну, який працює кілька років і обробляє сотні мільйонів доларів у транзакціях, появи такої протокол-урівневої вразливості є надзвичайно рідкісною та серйозною.

Посилення програми винагород за вразливості є позитивним сигналом, але довіра інвесторів вже пошкоджена. Flow потрібно відновлювати довіру через постійний аудит безпеки, прозорі звіти про інциденти та відсутність нових вразливостей. У сучасному конкурентному середовищі Layer-1 один серйозний інцидент безпеки може стати фатальним.