¡Vulnerabilidad en los tokens falsos de Flow expuesta! Caída del 40% en 5 horas, pérdida de 3.9 millones de dólares

Flow Fundación revela que el 27 de diciembre se produjo una vulnerabilidad a nivel de protocolo con una pérdida de 3,9 millones de dólares. Los atacantes aprovecharon una falla en Cadence para copiar activos en lugar de robarlos, y los validadores suspendieron la red durante 6 horas. FLOW cayó un 40% en 5 horas, desde 40 dólares en 2021 hasta 0,075 dólares. Flow fue creado por Dapper Labs, que recibió una inversión de 725 millones de dólares de a16z.

Análisis técnico de la vulnerabilidad a nivel de protocolo que permitió copiar tokens

El martes, Flow Fundación publicó un informe de análisis técnico que detalla el incidente de vulnerabilidad a nivel de protocolo ocurrido el 27 de diciembre. Los atacantes explotaron una falla en el entorno de ejecución Cadence de Flow, que permitía copiar ciertos activos en lugar de acuñarlos, eludiendo así el control de suministro sin acceder ni consumir los saldos existentes de los usuarios.

Este método de ataque es extremadamente raro en la historia de la seguridad en blockchain. Los ataques tradicionales suelen implicar el robo de claves privadas o la explotación de vulnerabilidades en contratos inteligentes para transferir activos, pero la vulnerabilidad de Flow permitía a los atacantes “copiar” tokens de la nada, como una fotocopiadora que imprime billetes. Dado que el ataque copiaba activos en lugar de sustraer fondos de cuentas, los saldos de los usuarios existentes no se vieron afectados. Esta característica hizo que la vulnerabilidad fuera difícil de detectar inicialmente, ya que los usuarios no notarían una reducción en sus saldos.

Tras la primera transacción maliciosa, los validadores coordinaron una suspensión de la red en 6 horas, y los socios de intercambio congelaron los activos falsificados antes de que se vendieran en su mayoría. Flow indicó que esta interrupción temporal puso la red en modo de solo lectura para cortar la salida de datos y prevenir copias adicionales, mientras se investigaba el problema.

Dos días después, la operación restauró la red mediante un plan de “aislamiento y recuperación”, que conservó los registros de transacciones legítimas y autorizó la recuperación y destrucción permanente de los activos falsificados mediante un proceso aprobado por la gestión. Aunque los atacantes generaron una gran cantidad de tokens falsificados en la cadena, Flow afirmó que la mayoría de estos activos estaban controlados o congelados antes de la liquidación. Como medida preventiva, algunas cuentas que interactuaron con los tokens falsificados fueron temporalmente restringidas, y más del 99% de las cuentas mantuvieron acceso completo durante y después de la recuperación.

Cronología y proceso de gestión del incidente de vulnerabilidad en Flow

27 de diciembre - Primer ataque: hackers comienzan a copiar tokens explotando la vulnerabilidad en Cadence

6 horas - Suspensión de la red: validadores coordinan modo solo lectura, cortando la vía de ataque

Emergencia en exchanges: socios congelan activos falsificados antes de su venta

Dos días - Restauración mediante aislamiento: se conservan transacciones legítimas, se destruyen activos falsificados, 99% de las cuentas no se ven afectadas

De 40 dólares a 0,075 dólares: una caída prolongada

(Origen: CoinGecko)

Dapper Labs, creador del proyecto de tokens no fungibles CryptoKitties, anunció en septiembre de 2019 que desarrollaba Flow, una nueva blockchain de capa 1 diseñada para abordar los desafíos de escalabilidad en aplicaciones de consumo como juegos y coleccionables digitales. El éxito inicial de NBA Top Shot (una plataforma NFT para intercambiar clips oficiales de la NBA) ayudó a que la blockchain Flow ganara atención mainstream en 2020 y 2021.

En este contexto, según datos de CoinGecko, el token FLOW de la red alcanzó más de 40 dólares en 2021. El impulso de Flow continuó en 2022, cuando recaudó aproximadamente 725 millones de dólares de inversores como Andreessen Horowitz (a16z) y Union Square Ventures para apoyar el desarrollo del ecosistema. El respaldo de estas instituciones de primer nivel hizo que Flow fuera considerado en su momento como la infraestructura líder para NFT.

Con la disminución del mercado de NFT en los años siguientes, el token FLOW perdió impulso y cayó fuera de las 300 principales criptomonedas por capitalización. Tras el ataque del 27 de diciembre, el precio de FLOW se aceleró en caída, perdiendo aproximadamente un 40% en cinco horas. El precio tocó un mínimo de 0,075 dólares el 2 de enero, para luego comenzar a recuperarse. Según datos de Cointelegraph, al cierre de esta edición, el precio de mercado se situaba cerca de 0,10 dólares, con un aumento del 16% en las últimas 24 horas.

De 40 dólares a 0,075 dólares, una caída superior al 99,8%, una caída extrema incluso para el mercado cripto. La decadencia de Flow refleja las dificultades del sector de infraestructura NFT, donde los proyectos sin aplicaciones reales son rápidamente abandonados cuando la especulación se enfría.

Reparación de vulnerabilidades y futuras medidas de seguridad

La fundación afirmó que ya corrigieron la vulnerabilidad subyacente, reforzaron las verificaciones en tiempo de ejecución y ampliaron las pruebas de regresión para prevenir ataques similares. Además, colaboran con socios forenses y agencias de aplicación de la ley, y planean fortalecer la monitorización y los programas de recompensas por vulnerabilidades como parte de una estrategia de seguridad más amplia.

Esta respuesta integral de seguridad es necesaria, pero también revela fallos en el diseño inicial de Flow. Cadence, el lenguaje de contratos inteligentes principal de Flow, tiene una vulnerabilidad que permite copiar activos, evidenciando puntos ciegos en auditorías de código y pruebas de seguridad. Para una blockchain que lleva años operando y manejando transacciones por cientos de millones de dólares, la aparición de una vulnerabilidad a nivel de protocolo es extremadamente rara y grave.

El fortalecimiento del programa de recompensas por vulnerabilidades es una señal positiva, pero la confianza de los inversores ya se ha visto afectada. Flow debe reconstruir la confianza mediante auditorías continuas, informes transparentes y un historial sin vulnerabilidades. En un mercado Layer-1 altamente competitivo, un incidente de seguridad de gran escala puede ser fatal.