Flow công bố báo cáo tổng kết kỹ thuật sự kiện bảo mật ngày 27 tháng 12 năm 2025

Tin từ Odaily: Vào ngày 27 tháng 12 năm 2025, mạng Flow đã bị tấn công khai thác lỗ hổng nhầm lẫn kiểu (type confusion) trên máy ảo Cadence, dẫn đến việc phát hành trái phép token. Kẻ tấn công đã sử dụng một "chuỗi lỗ hổng ba phần" phức tạp để vượt qua đảm bảo tuyến tính tài nguyên (resource linearity), ngụy trang đối tượng tài nguyên thành cấu trúc (struct) để sao chép. Sự kiện gây thiệt hại tài chính thực tế khoảng 3,9 triệu USD, số tiền này đã bị rút ra thông qua các cầu nối chuỗi chéo như Celer và deBridge.

Theo theo dõi của Flow, kẻ tấn công đã tạo ra tổng cộng 87,96 tỷ token FLOW và nhiều loại token khác, trong đó 1,094 tỷ FLOW đã được chuyển vào các sàn giao dịch tập trung. Nhờ các trình xác thực (validator) kịp thời dừng hoạt động và hợp tác với OKX, Gate.io, MEXC, khoảng 98,7% tài sản bất hợp pháp đã bị đóng băng trên chuỗi hoặc tại các sàn giao dịch, và khoảng 484 triệu FLOW đã bị tiêu hủy. Mạng lưới đã được khôi phục vào ngày 29 tháng 12 thông qua "Kế hoạch Phục hồi Cách ly" và hiện đã triển khai bản vá toàn diện bao gồm kiểm tra tham số, kiểm tra thời gian chạy và logic triển khai hợp đồng.