ثغرة خطيرة في Flow تفتح الباب لتكرار العملات وسرقة 3.9 مليون دولار… والشبكة تحت السيطرة

كشفت مؤسسة Flow أن الاختراق الذي تعرّضت له شبكة البلوكتشين في 27 ديسمبر نتج عن ثغرة بروتوكولية حرجة مكّنت المهاجم من تكرار العملات القابلة للاستبدال بدلًا من سكّها، ما أدى إلى الاستيلاء على نحو 3.9 مليون دولار من القيمة.

ووفقًا لتقرير تشريحي أصدرته المؤسسة، نفّذ المهاجم هجومًا عالي التعقيد التقني عبر نشر أكثر من 40 عقدًا ذكيًا خبيثًا في تسلسل منسق، مستغلًا خللًا في طبقة تنفيذ لغة Cadence (الإصدار 1.8.8). وأتاحت الثغرة إخفاء أصل محمي يُفترض أنه غير قابل للنسخ، والتعامل معه كبيانات عادية يمكن تكرارها.

وأوضحت المؤسسة أن المهاجم تمكن من تكرار العملات بدلًا من إصدار عملات جديدة، وهو ما جنّب أرصدة المستخدمين الحالية أي تأثير مباشر. وفي المقابل، نجح مدققو شبكة Flow في إيقاف الشبكة خلال ست ساعات من اكتشاف أول معاملة خبيثة، كما تم تجميد الأصول التي حُولت إلى منصات تداول مركزية بالتعاون مع تلك المنصات.

وأشار التقرير إلى أن المهاجم أودع نحو 1.094 مليار عملة FLOW مزيفة في عدة منصات تداول، تم بالفعل استرداد وإتلاف 484.4 مليون عملة منها بدعم من منصات OKX وGate.io وMEXC، فيما جرى عزل 98.7% من المعروض المتبقي تمهيدًا لإتلافه.