Flow wijt Cadence runtime type confusion kwetsbaarheid voor $3,9M exploit

Flow publiceerde op 6 januari 2026 een rapport na het incident, waarin de hoofdoorzaak van de exploit van $3,9 miljoen werd besproken.

Een aanvaller maakte misbruik van een Cadence runtime type confusion kwetsbaarheid om tokens te vervalsen. Flow zei dat geen bestaande gebruikerssaldi werden benaderd of gecompromitteerd.

Flow identificeert type confusion kwetsbaarheid als hoofdoorzaak van exploit

Een type confusion kwetsbaarheid bleek volgens Flow de primaire oorzaak te zijn. De kwetsbaarheid maakte het voor de aanvaller mogelijk om runtime veiligheidscontroles te omzeilen door een beschermd asset te vermommen als een reguliere gegevensstructuur. De aanvaller coördineerde de uitvoering van ongeveer 40 kwaadaardige smart contracts.

De aanval begon op blokhoogte 137.363.398 op 26 december 2025 om 08:25 CET. Minuten na de eerste deployment begon de productie van vervalste tokens. De aanvaller gebruikte standaard gegevensstructuren die repliceerbaar zijn om beschermde assets te vermommen die niet kopieerbaar zouden moeten zijn. Door te profiteren van de move-only semantiek van Cadence, maakte dit het vervalsen van tokens mogelijk.

Cadence en een volledig EVM-equivalente omgeving zijn de twee geïntegreerde programmeeromgevingen die door Flow worden uitgevoerd. In dit geval richtte de exploit zich op Cadence.

Netwerk down binnen zes uur na eerste kwaadaardige transactie

Op 27 december, op blokhoogte 137.390.190, startten Flow validators een gecoördineerde netwerkpauze om 14:23 CET. Alle ontsnappingsroutes werden afgesneden en de stopzetting vond minder dan zes uur na de eerste kwaadaardige transactie plaats.

Vervalste FLOW werd op 26 december om 08:42 CET verplaatst naar deposit-accounts van gecentraliseerde exchanges. Vanwege hun omvang en onregelmatigheid werden de meeste grote FLOW-overdrachten die naar exchanges werden gestuurd bij ontvangst bevroren. Vanaf 09:06 CET op 27 december werden enkele assets off-network gebridged met behulp van Celer, deBridge en Stargate.

Om 10:30 CET werden de eerste detectiesignalen opgemerkt. Op dit punt werden exchange deposits gecorreleerd met afwijkende cross-VM FLOW-bewegingen. Toen vervalste FLOW vanaf 10:00 CET werd geliquideerd, ondervonden gecentraliseerde exchanges aanzienlijke verkoopdruk.

Exchanges retourneren 484 miljoen vervalste FLOW tokens

Volgens Flow deponeerde de aanvaller 1,094 miljard vervalste FLOW op verschillende gecentraliseerde exchanges. Exchange partners Gate.io, MEXC en OKX retourneerden 484.434.923 FLOW, die werd vernietigd. 98,7% van de resterende voorraad vervalste goederen is onchain geïsoleerd en wordt momenteel vernietigd. Volledige oplossing wordt over 30 dagen verwacht, en coördinatie met andere exchange partners is nog gaande.

Nadat de community verschillende herstel opties evalueerde, inclusief checkpoint herstel, werd de herstelstrategie gekozen. Flow hield ecosysteem-brede consultaties met infrastructuurpartners, bridge operators en exchanges.

Flow's exploit van $3,9 miljoen vond plaats binnen een vergelijkbaar patroon van beveiligingsincidenten die crypto-protocollen troffen eind december 2025 en begin januari 2026. BtcTurk leed op 1 januari 2026 een hot wallet breach van $48 miljoen. Hackers compromitteerden de hot wallet infrastructuur van de gecentraliseerde exchange en sluisden fondsen af via Ethereum, Arbitrum, Polygon en andere chains.

Binance ervoer op 1 januari een incident met manipulatie van een market maker account met betrekking tot BROCCOLI token.

Wilt u uw project onder de aandacht brengen van de topexperts in crypto? Laat het figuren in ons volgende brancherapport, waar data en impact samenkomen.