Flow falso token com vulnerabilidade exposta! Queda de 40% em 5 horas, perda de 3,9 milhões de dólares

Flow Fundação revela perda de 3,9 milhões de dólares devido a uma vulnerabilidade a nível de protocolo em 27 de dezembro. Os atacantes exploraram uma falha no Cadence para copiar ativos em vez de roubá-los, levando os validadores a suspenderem a rede por 6 horas. FLOW caiu 40% em 5 horas, de 40 dólares em 2021 para 0,075 dólares. Flow foi criado pela Dapper Labs, que recebeu um investimento de 725 milhões de dólares da a16z.

Análise técnica da vulnerabilidade de cópia de tokens na camada de protocolo

A Fundação Flow publicou na terça-feira um relatório de análise técnica detalhando o incidente de vulnerabilidade a nível de protocolo ocorrido em 27 de dezembro. Os atacantes exploraram uma falha no ambiente de execução Cadence do Flow, que permitia copiar certos ativos ao invés de criá-los, burlando o controle de oferta sem precisar acessar ou consumir saldos existentes dos usuários.

Este método de ataque é extremamente raro na história da segurança em blockchain. Ataques tradicionais geralmente envolvem roubo de chaves privadas ou exploração de vulnerabilidades em contratos inteligentes para transferir ativos, mas a vulnerabilidade do Flow permitiu que os atacantes “copiassem” tokens do nada, como uma cópia de dinheiro por uma fotocopiadora. Como a vulnerabilidade permitia copiar ativos ao invés de roubar fundos de contas, os saldos dos usuários não foram afetados inicialmente. Essa característica dificultou a detecção precoce, pois os usuários não perceberam a redução em seus saldos.

Após a primeira transação maliciosa, os validadores coordenaram uma suspensão da rede em 6 horas, enquanto parceiros de exchanges congelaram os ativos falsificados antes que fossem vendidos em grande quantidade. A Flow afirmou que essa suspensão temporária colocou a rede em modo somente leitura, cortando rotas de saída e impedindo a cópia adicional de dados, enquanto investigava o problema.

Dois dias depois, a recuperação foi realizada com base em um plano de “isolamento e restauração”, que preservou registros legítimos de transações e autorizou a recuperação e destruição definitiva dos ativos falsificados através de processos aprovados pela gestão. Apesar de os atacantes terem gerado uma grande quantidade de tokens falsificados na cadeia, a Flow afirmou que a maioria foi controlada ou congelada antes da liquidação. Como medida preventiva, algumas contas que interagiram com os tokens falsificados foram temporariamente restritas, enquanto mais de 99% das contas permaneceram com acesso total durante e após a recuperação.

Cronologia do incidente de vulnerabilidade na Flow e processos de resposta

27 de dezembro - Primeiro ataque: hackers começam a copiar tokens explorando a vulnerabilidade no Cadence

6 horas - Suspensão da rede: validadores entram em modo somente leitura, cortando o vetor de ataque

Emergência nas exchanges: parceiros congelam ativos antes da venda em massa dos tokens falsificados

Dois dias - Restauração com isolamento: registros legítimos preservados, ativos falsificados destruídos, 99% das contas não afetadas

Da alta de 40 dólares até 0,075 dólares: uma longa queda

(Origem: CoinGecko)

A Dapper Labs, criadora do projeto de tokens não fungíveis CryptoKitties, anunciou em setembro de 2019 o desenvolvimento do Flow, uma nova blockchain de camada 1, com o objetivo de resolver desafios de escalabilidade enfrentados por aplicações de consumo como jogos e colecionáveis digitais. O sucesso inicial do NBA Top Shot — uma plataforma NFT para negociar highlights oficiais da NBA — ajudou a colocar a blockchain Flow em destaque em 2020 e 2021.

Nesse contexto, segundo dados do CoinGecko, o token FLOW atingiu mais de 40 dólares em 2021. O crescimento continuou em 2022, quando o projeto levantou cerca de 725 milhões de dólares de investidores como Andreessen Horowitz (a16z) e Union Square Ventures para apoiar o desenvolvimento do ecossistema. Essa forte credencial institucional fez do Flow uma referência no setor de infraestrutura de NFTs.

Com a desaceleração do mercado de NFTs nos anos seguintes, o token FLOW perdeu momentum e caiu do top 300 de criptomoedas por valor de mercado. Após o ataque de 27 de dezembro, o preço do FLOW acelerou sua queda, caindo cerca de 40% em 5 horas. Em 2 de janeiro, o preço chegou a um mínimo de 0,075 dólares, mas começou a se recuperar. Segundo dados do Cointelegraph, no momento da redação, o preço de negociação estava próximo de 0,10 dólares, com alta de aproximadamente 16% nas últimas 24 horas.

De 40 dólares a 0,075 dólares, a queda foi superior a 99,8%, uma queda extrema mesmo para o mercado de criptomoedas. A decadência do Flow reflete a crise no setor de infraestrutura de NFTs, onde projetos sem aplicações reais foram rapidamente abandonados após o fim da especulação.

Correções de vulnerabilidades e medidas futuras de segurança

A fundação afirmou que já corrigiu a vulnerabilidade de base, reforçou as verificações em tempo de execução e expandiu os testes de regressão para evitar ataques semelhantes. Além disso, está colaborando com parceiros de investigação e autoridades para fortalecer a monitoração e implementar programas de recompensas por vulnerabilidades, como parte de uma estratégia mais ampla de reforço de segurança.

Essa resposta de segurança abrangente é necessária, mas também expõe falhas no design inicial do Flow. O Cadence, linguagem de contratos inteligentes do Flow, possui uma vulnerabilidade que permite a cópia de ativos, revelando lacunas na auditoria de código e testes de segurança. Para uma blockchain que opera há anos e lida com bilhões de dólares em transações, a ocorrência de uma vulnerabilidade a nível de protocolo é extremamente rara e grave.

O fortalecimento do programa de recompensas por vulnerabilidades é um sinal positivo, mas a confiança dos investidores já foi afetada. O Flow precisa reconstruir a confiança por meio de auditorias contínuas, relatórios transparentes de incidentes e um histórico de zero vulnerabilidades. Em um mercado de Layer-1 altamente competitivo, um incidente de segurança grave pode ser fatal.