Flowエクスプロイトの事後分析で、プロトコルレベルの脆弱性が判明

Flowエクスプロイト事後分析でプロトコルレベルの脆弱性が判明

昨年（2025年）末に発生したエクスプロイト被害後の事後分析レポートで、攻撃者がプロトコルレベルの脆弱性を利用し、代替トークンを複製していたことが分かった。

2025年12月27日にFlowブロックチェーンで発生したエクスプロイトの事後分析レポートでは、プロトコルレベルの脆弱性が詳細に明らかにされており、攻撃者はこの脆弱性を利用して代替トークンを複製し、約390万ドル相当の価値を盗み出していたことが判明した。主にフロー（Flow）ブロックチェーンエコシステムの発展を支援する非営利団体Flow Foundationが発表したレポートでは次のように述べられている。

鋳造ではなく複製

攻撃者はCadence実行レイヤー（v1.8.8）の重大な脆弱性を悪用し、本来はコピー不可能であるべき保護された資産を、コピー可能な標準データ構造に偽装することに成功していた。

攻撃者はトークンを“鋳造するのではなく複製”ができたため、既存のユーザー残高に直接的な影響は及ばなかった。しかし、Flowバリデータは最初の悪意あるトランザクションから6時間以内にネットワークを停止。中央集権型取引所に既に送金されていた資金は取引所パートナーによって凍結されており、報告書で次のように詳述されている。

Flowは残りの偽造供給量の98.7%を隔離するための措置を講じており、現在破棄を待っている状態だ。同財団は、残りの資産回収に向けて他の取引所と協力を続ける中で、攻撃者に関連するすべての預入アドレスを実行レイヤーで制限することにより、プロトコルレベルのバックストップを実現。これにより、偽造トークンは破棄のために返却されるまで、出金、ブリッジ、または譲渡できなくなっている。

すでにFlowネットワークは稼働

財団によると、脆弱性は修正され、Flowネットワークは完全に稼働している。

開発者は当初検討していたチェーン全体の完全なロールバックは行わない「隔離リカバリ」を選択し、正当な取引履歴を維持し、ガバナンス承認済みのプロセスを通じて偽造資産を破棄できるようにしている。

ハッキング事件後、5時間で約40%急落したFLOWは、2026年1月2日に0.075ドルの安値まで下落を続け、その後ネットワークの稼働開始とともに回復に転じ、過去24時間で14%以上上昇している。