Обнаружена уязвимость фальшивых токенов Flow! За 5 часов падение на 40%, убытки составили 3,9 миллиона долларов

Flow 基金会 раскрыла убытки на сумму 3,9 миллиона долларов из-за уязвимости на уровне протокола 27 декабря. Атакающие использовали дефект Cadence для копирования активов вместо их кражи, в результате чего валидаторы приостановили работу сети на 6 часов. FLOW за 5 часов упал на 40%, с 40 долларов в 2021 году до 0,075 долларов. Flow создана Dapper Labs и ранее привлекла инвестиции на сумму 725 миллионов долларов от a16z.

Анализ технической уязвимости протокольного уровня копирования токенов

Во вторник фонд Flow опубликовал технический отчет, подробно описывающий инцидент уязвимости протокола 27 декабря. Атакующие использовали уязвимость в среде выполнения Cadence, которая позволяла копировать некоторые активы вместо их чеканки, обходя контроль поставок и не требуя доступа или расходования существующих балансов пользователей.

Этот тип атаки крайне редок в истории блокчейн-безопасности. Традиционные хакерские атаки обычно связаны с кражей приватных ключей или использованием уязвимостей смарт-контрактов для вывода активов, однако уязвимость Flow позволила злоумышленникам просто «копировать» токены, подобно копирующему аппарату, который дублирует деньги. Поскольку атака копировала активы, а не похищала средства с аккаунтов, баланс существующих пользователей не пострадал. Эта особенность затрудняла раннее обнаружение уязвимости, так как пользователи не замечали уменьшения своих кошельков.

В течение шести часов после первой злонамеренной транзакции валидаторы согласовали переход в режим только для чтения, чтобы разорвать канал атаки, а партнеры-обменники заблокировали большинство поддельных активов до их продажи. Flow заявил, что временная остановка сети перевела ее в режим только для чтения, чтобы отключить выходные пути и предотвратить дальнейшее копирование данных, а также проводит расследование.

Два дня спустя, в рамках плана «изоляционного восстановления», сеть была восстановлена с сохранением легитимных транзакций, а поддельные активы были изъяты и уничтожены по одобренным руководством процедурам. Несмотря на то, что злоумышленники создали большое количество поддельных токенов, Flow отметил, что большинство из них было контролируемо или заблокировано до ликвидации. В качестве меры предосторожности некоторые аккаунты, взаимодействовавшие с поддельными токенами, были временно ограничены в доступе, а более 99% аккаунтов сохранили полный доступ во время и после восстановления.

Хронология и процесс реагирования на инцидент уязвимости Flow

27 декабря — первая атака: хакеры использовали уязвимость Cadence для копирования токенов

6 часов — приостановка сети: валидаторы согласовали переход в режим только для чтения, чтобы разорвать канал атаки

Экстренная блокировка бирж: партнеры заблокировали большинство поддельных активов до их продажи

Два дня — восстановление после изоляции: сохранены легитимные транзакции, уничтожены поддельные активы, 99% аккаунтов не пострадали

От 40 долларов до 0,075 долларов — долгий спад

(Источник: CoinGecko)

Создатель проекта невзаимозаменяемых токенов CryptoKitties — Dapper Labs — объявил в сентябре 2019 года о разработке Flow, новой блокчейн-платформы уровня 1, предназначенной для решения проблем масштабируемости в приложениях для игр и цифровых коллекционных предметов. Успех NBA Top Shot — платформы для торговли официальными NFT-версиями видеоматериалов NBA — помог привлечь к Flow широкое внимание в 2020 и 2021 годах.

На фоне этого, по данным CoinGecko, токен FLOW достиг более 40 долларов в 2021 году. Рост продолжился и в 2022 году, когда проект привлек около 725 миллионов долларов от инвесторов, включая Andreessen Horowitz (a16z) и Union Square Ventures, для развития экосистемы. Такой престижный бекграунд сделал Flow одним из лидеров инфраструктуры NFT.

Однако с охлаждением рынка NFT в последующие годы, цена FLOW начала падать, и проект вышел из топ-300 по рыночной капитализации. После атаки 27 декабря цена токена резко снизилась примерно на 40% за пять часов. 2 января цена опустилась до минимума в 0,075 долларов, после чего начала восстанавливаться. По данным Cointelegraph, на момент публикации цена приближалась к 0,10 долларов, увеличившись за последние 24 часа примерно на 16%.

Падение с 40 долларов до 0,075 долларов — более чем на 99,8%, что является экстремальным даже для крипторынка. Упадок Flow отражает кризис всей инфраструктуры NFT, когда после спада спекулятивного ажиотажа проекты без реальных приложений быстро теряют интерес рынка.

Исправление уязвимости и меры по усилению безопасности в будущем

Фонд заявил, что исправил базовую уязвимость, усилил проверки во время выполнения, расширил регрессионное тестирование для предотвращения подобных атак. Также они сотрудничают с экспертами по расследованию и правоохранительными органами, планируют усилить мониторинг и программы наград за обнаружение уязвимостей как часть более широкой стратегии повышения безопасности.

Такая комплексная реакция необходима, однако она выявила недостатки раннего проектирования Flow. Среда выполнения Cadence, которая является основным языком смарт-контрактов Flow, содержит уязвимость, позволяющую копировать активы, что указывает на пробелы в аудите кода и тестировании безопасности. Для блокчейна, который работает уже несколько лет и обрабатывает сотни миллионов долларов транзакций, появление протокольных уязвимостей — редкое и серьезное событие.

Усиление программы наград за обнаружение уязвимостей — позитивный сигнал, однако доверие инвесторов уже подорвано. Flow необходимо восстанавливать доверие через постоянные аудиты безопасности, прозрачные отчеты о инцидентах и отсутствие новых уязвимостей. В условиях жесткой конкуренции на рынке Layer-1 одна крупная безопасность-угроза может стать фатальной.