Flow, Cadence रनटाइम टाइप कन्फ्यूजन वल्नरेबिलिटी को $3.9M एक्सप्लॉइट के लिए जिम्मेदार ठहराता है

Flow ने 6 जनवरी, 2026 को एक घटना के बाद की रिपोर्ट प्रकाशित की, जिसमें अपने $3.9 मिलियन के एक्सप्लॉइट के मूल कारण पर चर्चा की गई।

एक हमलावर ने टोकन बनाने के लिए Cadence रनटाइम टाइप कन्फ्यूजन भेद्यता का दुरुपयोग किया। Flow ने कहा कि किसी भी मौजूदा उपयोगकर्ता बैलेंस को एक्सेस या समझौता नहीं किया गया।

Flow ने टाइप कन्फ्यूजन भेद्यता को एक्सप्लॉइट के मूल कारण के रूप में पहचाना

Flow द्वारा टाइप कन्फ्यूजन भेद्यता को प्राथमिक कारण पाया गया। इस भेद्यता ने हमलावर को एक संरक्षित एसेट को नियमित डेटा संरचना के रूप में छिपाकर रनटाइम सुरक्षा जांच से बचना संभव बना दिया। हमलावर ने लगभग 40 दुर्भावनापूर्ण स्मार्ट कॉन्ट्रैक्ट्स के निष्पादन का समन्वय किया।

हमला 26 दिसंबर, 2025 को 23:25 PST पर ब्लॉक ऊंचाई 137,363,398 पर शुरू हुआ। पहली तैनाती के कुछ मिनट बाद, नकली टोकन का उत्पादन शुरू हुआ। हमलावर ने मानक डेटा संरचनाओं का उपयोग किया जो प्रतिकृति योग्य हैं, ताकि संरक्षित एसेट्स को छिपाया जा सके जो कॉपी योग्य नहीं होने चाहिए। Cadence के मूव-ओनली सिमेंटिक्स का लाभ उठाकर, इसने टोकन जालसाजी को संभव बना दिया।

Cadence और पूरी तरह से EVM-समकक्ष वातावरण Flow द्वारा चलाए जाने वाले दो एकीकृत प्रोग्रामिंग वातावरण हैं। इस मामले में, एक्सप्लॉइट ने Cadence को लक्षित किया।

प्रारंभिक दुर्भावनापूर्ण लेनदेन के छह घंटे के भीतर नेटवर्क डाउन

27 दिसंबर को, ब्लॉक ऊंचाई 137,390,190 पर, flow वैलिडेटर्स ने 05:23 PST पर एक समन्वित नेटवर्क विराम शुरू किया। सभी बचने के रास्ते काट दिए गए, और यह रोक प्रारंभिक दुर्भावनापूर्ण लेनदेन के छह घंटे से भी कम समय बाद हुई।

26 दिसंबर को 23:42 PST तक नकली FLOW को केंद्रीकृत एक्सचेंज जमा खातों में स्थानांतरित किया जा रहा था। उनके आकार और अनियमितता के कारण, एक्सचेंजों को भेजे गए अधिकांश बड़े FLOW ट्रांसफर प्राप्ति पर फ्रीज कर दिए गए। 27 दिसंबर को 00:06 PST से शुरू होकर, कुछ एसेट्स Celer, deBridge, और Stargate का उपयोग करके ऑफ-नेटवर्क ब्रिज किए गए।

01:30 PST पर, पहले डिटेक्शन सिग्नल उठाए गए। इस बिंदु पर, एक्सचेंज जमा को असामान्य क्रॉस-VM FLOW मूवमेंट के साथ सहसंबद्ध किया गया। जैसे ही 1:00 PST से शुरू होकर नकली FLOW का परिसमापन किया गया, केंद्रीकृत एक्सचेंजों को महत्वपूर्ण बिक्री दबाव का सामना करना पड़ा।

एक्सचेंजों ने 484 मिलियन नकली FLOW टोकन वापस किए

Flow के अनुसार, हमलावर ने कई केंद्रीकृत एक्सचेंजों में 1.094 बिलियन नकली FLOW जमा किए। एक्सचेंज पार्टनर्स Gate.io, MEXC, और OKX ने 484,434,923 FLOW वापस किए, जिन्हें नष्ट कर दिया गया। नकली माल की शेष आपूर्ति का 98.7% ऑनचेन पृथक किया गया है और नष्ट किए जाने की प्रक्रिया में है। पूर्ण समाधान 30 दिनों में प्रत्याशित है, और अन्य एक्सचेंज पार्टनर्स के साथ समन्वय अभी भी प्रगति पर है।

समुदाय द्वारा चेकपॉइंट रीस्टोरेशन सहित कई रिकवरी विकल्पों का मूल्यांकन करने के बाद, रिकवरी रणनीति चुनी गई। Flow ने इंफ्रास्ट्रक्चर पार्टनर्स, ब्रिज ऑपरेटर्स और एक्सचेंजों के साथ इकोसिस्टम-व्यापी परामर्श आयोजित किए।

Flow का $3.9 मिलियन एक्सप्लॉइट दिसंबर 2025 के अंत और जनवरी 2026 की शुरुआत में क्रिप्टो प्रोटोकॉल को प्रभावित करने वाली सुरक्षा घटनाओं के समान पैटर्न के भीतर हुआ। BtcTurk को 1 जनवरी, 2026 को $48 मिलियन की हॉट वॉलेट ब्रीच का सामना करना पड़ा। हैकर्स ने केंद्रीकृत एक्सचेंज के हॉट वॉलेट इंफ्रास्ट्रक्चर से समझौता किया और Ethereum, Arbitrum, Polygon और अन्य चेन्स पर फंड निकाले।

Binance ने 1 जनवरी को BROCCOLI टोकन से जुड़ी एक मार्केट मेकर अकाउंट मैनिपुलेशन घटना का अनुभव किया।

क्या आप अपने प्रोजेक्ट को क्रिप्टो के शीर्ष दिमागों के सामने चाहते हैं? इसे हमारी अगली इंडस्ट्री रिपोर्ट में फीचर करें, जहां डेटा प्रभाव से मिलता है।