Flow accuse une vulnérabilité de confusion de type dans le runtime Cadence pour une exploitation de 3,9 M$

Flow a publié un rapport post-incident le 6 janvier 2026, discutant de la cause première de son exploit de 3,9 millions de dollars.

Un attaquant a exploité une vulnérabilité de confusion de type du runtime Cadence pour contrefaire des tokens. Flow a déclaré qu'aucun solde d'utilisateur existant n'a été accédé ou compromis.

Flow identifie une vulnérabilité de confusion de type comme cause première de l'exploit

Une vulnérabilité de confusion de type a été identifiée comme la cause principale par Flow. La vulnérabilité a permis à l'attaquant de contourner les contrôles de sécurité du runtime en déguisant un actif protégé comme une structure de données régulière. L'attaquant a coordonné l'exécution d'environ 40 contrats intelligents malveillants.

L'attaque a commencé à la hauteur de bloc 137 363 398 le 26 décembre 2025, à 23h25 PST. Quelques minutes après le premier déploiement, la production de tokens contrefaits a commencé. L'attaquant a utilisé des structures de données standard qui sont réplicables pour déguiser des actifs protégés qui devraient être non copiables. En profitant de la sémantique move-only de Cadence, cela a rendu possible la contrefaçon de tokens.

Cadence et un environnement totalement équivalent EVM sont les deux environnements de programmation intégrés gérés par Flow. Dans ce cas, l'exploit visait Cadence.

Réseau arrêté dans les six heures suivant la transaction malveillante initiale

Le 27 décembre, à la hauteur de bloc 137 390 190, les validateurs Flow ont lancé une pause réseau coordonnée à 05h23 PST. Toutes les voies d'évasion ont été coupées, et l'arrêt s'est produit moins de six heures après la transaction malveillante initiale.

Les FLOW contrefaits étaient transférés vers des comptes de dépôt d'exchange centralisés le 26 décembre à 23h42 PST. En raison de leur taille et de leur irrégularité, la plupart des gros transferts FLOW envoyés vers les exchanges ont été gelés dès réception. À partir de 00h06 PST le 27 décembre, quelques actifs ont été transférés hors réseau via Celer, deBridge et Stargate.

À 01h30 PST, les premiers signaux de détection ont été émis. À ce stade, les dépôts sur les exchanges ont été corrélés avec des mouvements FLOW cross-VM anormaux. Alors que les FLOW contrefaits étaient liquidés à partir de 01h00 PST, les exchanges centralisés ont fait face à une pression de vente importante.

Les exchanges retournent 484 millions de tokens FLOW contrefaits

Selon Flow, l'attaquant a déposé 1,094 milliard de FLOW contrefaits sur plusieurs exchanges centralisés. Les partenaires d'exchange Gate.io, MEXC et OKX ont retourné 484 434 923 FLOW, qui ont été détruits. 98,7 % de l'offre restante de produits contrefaits a été isolée onchain et est en cours de destruction. Une résolution complète est prévue dans 30 jours, et la coordination avec d'autres partenaires d'exchange est toujours en cours.

Après que la communauté a évalué plusieurs options de récupération, y compris la restauration de point de contrôle, la stratégie de récupération a été choisie. Flow a organisé des consultations à l'échelle de l'écosystème avec des partenaires d'infrastructure, des opérateurs de bridge et des exchanges.

L'exploit de 3,9 millions de dollars de Flow s'est produit dans un schéma similaire d'incidents de sécurité affectant les protocoles crypto fin décembre 2025 et début janvier 2026. BtcTurk a subi une violation de hot wallet de 48 millions de dollars le 1er janvier 2026. Des hackers ont compromis l'infrastructure de hot wallet de l'exchange centralisé et ont siphonné des fonds à travers Ethereum, Arbitrum, Polygon et d'autres chaînes.

Binance a connu un incident de manipulation de compte de market maker le 1er janvier impliquant le token BROCCOLI.

Vous voulez que votre projet soit présenté aux meilleurs esprits de la crypto ? Mettez-le en avant dans notre prochain rapport de l'industrie, où les données rencontrent l'impact.