Flow セキュリティ イベント レビュー: Cadence 実行中の型混合脆弱性が主要な要因でした
BlockBeats ニュース、1 月 7 日、Folw は攻撃イベントレポートを公開しました。この攻撃では、Flow ネットワークの脆弱性を悪用した攻撃者がトークンを偽造し、ブリッジングを通じて約 390 万ドルを盗み出しました。この攻撃により既存のユーザー残高にアクセスすることはなかったと報告されています。攻撃は資産を複製しましたが、正当な所有者の資産には触れず、ほぼすべての偽造資産は清算前にチェーン上に保管されたか、取引所のパートナーによって凍結されました。ネットワークの検証者は分散型ガバナンスアクションを承認し、すべての偽造資産を永久に破棄する権限を与えました。ネットワークは 12 月 29 日に再稼働し、現在は正常に稼働しており、すべての取引履歴が保存されています。
攻撃者は連続して 40 を超える悪意のあるスマートコントラクトを展開し、3 段階の攻撃チェーンを利用しました:1)添付ファイルのインポート検証をバイパスする;2)組み込み型の防御チェックをバイパスする;3)コントラクト初期化子のセマンティックスの欠陥を利用する。根本的な原因は、Cadence ランタイム(v1.8.8)に存在した型の混乱に関する欠陥であり、この欠陥は現在修正されています(v1.8.9 およびそれ以降のバージョン)。この欠陥により、保護された資産(通常は複製不可能なもの)が標準データ構造(複製可能なもの)に偽装されることが可能となり、ランタイムのセキュリティチェックをバイパスし、トークンの偽造を実現することができました。
Flow から資産を移動させるだけでなく、攻撃者は偽造の FLOW を複数の中央集権取引所に入金しようとしましたが、異常な取引規模と内部マネーロンダリング規制のため、複数の取引所が入金後に凍結しました。約 50% の偽造 FLOW 入金は OKX、Gate、MEXC などの協力取引所に返金され、破棄されました。財団は他の取引所と積極的に連携しています。
関連記事
Stripeの大会で、私はAI経済の未来を見ました。
鉱夫たちは新たな生を迎えた
クロード・コード創設者がセコイアサミットでの7つの重要な判断
AIエージェントの支払いの瞬間:誰がマシン経済のStripeになるのか?
早報 | MoonPayがSolanaの実行層DFlowを買収;StrategyがQ1の財務報告を発表;Manta NetworkがMantaのステーキングプランを終了することを発表
借りた軌道:この波のステーブルコイン FX ホットマネーは、一体何に対して支払っているのか?
Dialogue Velocity Eric:CFOが真に求めるステーブルコインの活用領域とは?
戦略 早くも売却を排除するとは言えない
MegaETHは、TGEの1週間以内にTVLを700mに達成するためにどのようにパッケージング手法を分解するのか?
先物取引時間:暗号資産を24時間365日取引し、取引手数料を最大45%還元
先物取引の時間帯と、暗号資産先物の最適な取引タイミングを学びましょう。24時間365日の市場インサイトやピーク時の取引セッション、手数料を最大45%還元する方法をご紹介します。
a16z CryptoがWeb3への大規模投資に向け22億ドルを新たに調達する理由とは?
Polymarketの基盤アルゴリズムを徹底解説
暗号資産の弱気相場で生まれたプロジェクトは何をしているのか?
a16z創設者スタンフォード講座:毎回ウォール街とシリコンバレーの考えが異なると、最後に間違っているのはウォール街である
マイケル・セイラー氏:3四半期連続の赤字を受け、Strategyは配当支払いのためにBitcoinを売却する可能性を示唆
ホルムズの料金所、そして手に入らない人民元
対話 Coinbase Institutional 戦略責任者:暗号機関化が臨界点に達する
