ChainCatcher riferisce che la Flow Foundation ha pubblicato un aggiornamento ufficiale affermando che un attaccante ha sfruttato una vulnerabilità nel livello di esecuzione di Flow, trasferendo circa 3,9 milioni di dollari in asset off-chain prima dello spegnimento coordinato dei validatori. La Foundation ha sottolineato che l’incidente non ha interessato alcun saldo utente esistente e tutti i depositi degli utenti rimangono intatti.
I fondi defluiti sono stati trasferiti principalmente tramite bridge cross-chain. L’indirizzo dell’attaccante è stato identificato e segnalato, con i relativi percorsi di riciclaggio di denaro tracciati in tempo reale, e richieste di congelamento sono state inoltrate a Circle, Tether e i principali exchange. La Foundation ha dichiarato che la rete è stata isolata e una patch per la vulnerabilità è stata rilasciata ed è in fase di verifica e distribuzione.
Per rimuovere le transazioni non autorizzate, la rete tornerà a un checkpoint precedente all’attacco. Le transazioni legittime inviate durante questo periodo dovranno essere reinviate dopo il riavvio. Sulla base del feedback di validatori e partner dell’ecosistema, la Foundation ha deciso di estendere il tempo di coordinamento per garantire il consenso a livello di rete e la sicurezza a lungo termine, e non procederà con un riavvio affrettato prima del completamento di consultazioni adeguate. I fondi degli utenti rimangono sicuri durante l’intero processo e gli aggiornamenti continueranno a essere pubblicati secondo il calendario stabilito.
Notizia precedente: il co-fondatore di deBridge aveva avvertito che un rollback affrettato da parte di Flow potrebbe innescare rischi sistemici maggiori.
