Ulat ng Post-Mortem sa Pag-atake sa Flow Blockchain
Isang ulat ng post-mortem tungkol sa pag-atake noong Disyembre 27 sa Flow blockchain ang nagbigay-diin sa isang flaw sa antas ng protocol na nagbigay-daan sa umaatake na kopyahin ang mga fungible token at ubusin ang humigit-kumulang $3.9 milyon na halaga. Ayon sa ulat na inilathala ng Flow Foundation,
“Ipinakita ng pag-atake ang makabuluhang teknikal na kasanayan. Ang umaatake ay nag-deploy ng higit sa 40 mapanlinlang na smart contracts sa isang magkakaugnay na pagkakasunod-sunod.”
Pag-exploit sa Cadence Execution Layer
Nakuha ng mga umaatake na samantalahin ang isang pangunahing flaw sa Cadence execution layer (v1.8.8) na nagbigay-daan sa kanila na itago ang isang protektadong asset, na dapat ay hindi nakokopya, bilang isang karaniwang istruktura ng data na maaaring kopyahin. Sa simpleng salita, nagawa ng umaatake na kopyahin ang mga token sa halip na lumikha ng mga ito, na dahilan din kung bakit ang mga umiiral na balanse ng gumagamit ay hindi direktang naapektuhan.
Mga Hakbang ng Flow Validators
Gayunpaman, nagawa ng mga validator ng Flow na simulan ang paghinto ng network sa loob ng anim na oras mula sa unang mapanlinlang na transaksyon, at ang mga pondo na naipadala na sa mga centralized exchange ay na-freeze ng mga kasosyo sa exchange.
“1.094 bilyong pekeng FLOW ang naideposito ng umaatake sa iba’t ibang centralized exchange. Mula dito, 484,434,923 FLOW ang naibalik na ng mga kooperatibong kasosyo sa exchange na OKX, Gate.io, at MEXC at nawasak,”
dagdag ng ulat.
Pag-iwas at Pagsasaayos
Samantala, ang Flow ay gumawa ng mga hakbang upang ihiwalay ang 98.7% ng natitirang pekeng supply, na kasalukuyang nakabinbin para sa pagkawasak. Habang patuloy na nakikipagtulungan ang Foundation sa karagdagang mga kasosyo sa exchange upang mabawi ang natitirang mga asset, pinagana nito ang isang backstop sa antas ng protocol sa pamamagitan ng pag-restrict sa lahat ng deposit address na konektado sa umaatake sa execution layer. Ito ay ginawa upang hindi ma-withdraw, ma-bridge, o mailipat ang mga pekeng token hanggang sa maibalik ang mga ito para sa pagkawasak.
Pagsasaayos ng Kahinaan
Ayon sa foundation, ang kahinaan ay na-patch na, at ang Flow network ay ganap na operational. Pinili ng mga developer ang isang “isolated recovery” na plano sa halip na ang buong-chain rollback na orihinal nilang hinahanap. Tulad ng naunang iniulat ng crypto.news, ito ay ginawa upang mapanatili ang lehitimong kasaysayan ng transaksyon at payagan ang pagkawasak ng mga pekeng asset sa pamamagitan ng isang proseso na inaprubahan ng pamahalaan.
Pagbawi ng FLOW Token
Ang FLOW, ang katutubong token ng blockchain, ay nagawang makabawi mula nang makumpleto ang recovery plan at pagkatapos ay inilabas ng Foundation ang post-mortem. Matapos bumagsak ng humigit-kumulang 40% sa loob ng limang oras kasunod ng pag-hack noong Disyembre 27, patuloy na bumagsak ang FLOW sa isang mababang $0.075 noong Enero 2 bago nagsimulang makabawi habang ang network ay naging operational. Sa nakalipas na 24 na oras, ang token ay tumaas ng higit sa 14% at nag-trade sa $0.1015 habang isinusulat.
