1월 7일, Flow는 공격에 대한 보고서를 발표하며 공격자들이 Flow 네트워크의 취약점을 악용하여 토큰을 위조하고 브리징을 통해 약 390만 달러를 탈취했다고 밝혔습니다. 이 공격으로 기존 사용자 잔액 유출되지 않았습니다. 공격으로 자산이 복제되었지만, 합법적으로 보유된 자산에는 영향을 미치지 않았습니다. 위조된 자산의 대부분은 온체인 저장되거나 거래소 파트너에 의해 동결 된 후 청산되었습니다. 네트워크 검증자들은 모든 위조 자산을 영구적으로 파기하는 것을 승인하는 탈중앙화 거버넌스 조치를 승인했습니다. 네트워크는 12월 29일에 복구되어 현재 정상적으로 운영되고 있으며, 모든 거래 내역은 저장되었습니다.
공격자들은 3단계 공격 방식을 이용하여 40개 이상의 악성 스마트 계약을 순차적으로 배포했습니다. 공격 방식은 1) 첨부 파일 가져오기 검증 우회, 2) 내장된 타입 방어 검사 우회, 3) 계약 초기화자의 의미론적 취약점 악용입니다. 근본적인 원인은 Cadence 런타임(v1.8.8)의 타입 혼동 취약점이었으며, 이 취약점은 이후 패치되었습니다(v1.8.9 이상). 이 취약점을 악용한 공격자는 복제할 수 없어야 하는 보호 자산을 복제 가능한 표준 데이터 구조로 위장하여 런타임 보안 검사를 우회하고 토큰 위조를 가능하게 했습니다.
공격자들은 Flow에서 자산을 빼돌리는 것 외에도 여러 중앙화 거래소 에 위조 FLOW 토큰을 입금하려 시도했습니다. 그러나 비정상적으로 많은 거래량과 자체 자금세탁 방지 프로토콜로 인해 여러 거래소 입금 즉시 동결. 협력 거래 플랫폼(OKX, Gate, MEXC 등)을 통해 위조 FLOW 입금액의 약 50%가 반환 및 폐기되었으며, 재단은 다른 거래 플랫폼과도 적극적으로 협력하고 있습니다.
