Blockchain Flow przetrwał atak hakerski i cofnął transakcje

Wartość tokena $FLOW niespodziewanie spadła o około 50%, z 0,17 do 0,08 USD na giełdzie Binance, po czym częściowo się odbudowała. Przyczyną był atak hakerski, w wyniku którego atakujący wypłacił około 3,9 miliona USD w $FLOW i innych ekwiwalentach aktywów. Potwierdzają to dane z oficjalnego raportu Flow Foundation oraz analizy partnerów, takich jak Find Labs.

Co się stało?

27 grudnia 2025 roku haker wykorzystał lukę w zabezpieczeniach warstwy wykonawczej sieci Flow. Atak umożliwił atakującemu wybicie milionów tokenów $FLOW i opróżnienie puli płynności o wartości ponad 4 milionów dolarów (wstępne szacunki użytkowników, ale oficjalnie 3,9 miliona dolarów). Środki zostały wypłacone za pośrednictwem mostów do Ethereum, w tym Celer, deBridge, Relay i Stargate, a następnie częściowo wyprane za pomocą protokołów takich jak THORChain i Chainflip. Adres Ethereum atakującego: 0x2e7C4b71397f10c93dC0C2ba6f8f179a47F994e1, został już oznaczony i zgłoszony giełdom w celu zamrożenia.

Zespół Flow zareagował natychmiast: sieć została zatrzymana we współpracy z walidatorami, a oni sami skontaktowali się z giełdami (w tym Binance, Coinbase i Kraken) w celu zablokowania podejrzanych transakcji. Ostatecznie, aby unieważnić transakcje hakera, sieć została przywrócona do punktu kontrolnego sprzed incydentu, co w praktyce oznaczało twardy fork, który wymazał około 6 godzin aktywności (od 23:25 czasu pacyficznego 26 grudnia do 5:30 czasu pacyficznego 27 grudnia). Unieważniło to nie tylko działania atakującego, ale także wszystkie prawidłowe transakcje w tym czasie – użytkownicy będą musieli je ponownie przesłać po restarcie.

Oficjalne oświadczenieFlow Foundation podkreśla, że salda użytkowników sprzed ataku nie zostały naruszone, a exploit nie wpłynął na depozyty. Sieć powróciła już do trybu tylko do odczytu, a pełny restart spodziewany jest w ciągu najbliższych godzin po ostatecznej weryfikacji poprawki. Pełna analiza post mortem jest zaplanowana na 72 godziny.

Krytyka i konsekwencje

Jednak nie wszystko poszło gładko. Współzałożyciel deBridge, Alex Smirnov, oskarżył zespół Flow o brak koordynacji z partnerami brydżowymi.

Cofnięcie zmian doprowadziło do potencjalnych problemów: zduplikowanych sald u osób, które wypłaciły środki w tym czasie, oraz niezwróconych depozytów z tytułu transakcji przychodzących (przykłady: ~ 200 tys. i ~50 tys. dolarów za pośrednictwem deBridge, plus duże przelewy USDC za pośrednictwem LayerZero na kwotę 220 tys. i 180 tys. dolarów). Niektórzy użytkownicy, tacy jak @ingerxyz, skarżą się, że ich portfele z $FLOW i USDC „zniknęły” z powodu cofnięcia zmian i domagają się odszkodowania.

To nie pierwszy cios dla Flow: sieć, znana z NBA Top Shot, od dawna jest uważana za „martwą”, charakteryzuje się niską aktywnością, brakiem znaczących użytkowników i niedawnym skandalem z zamknięciem portfela Blocto w związku z oskarżeniami o oszustwo typu exit scam. Spadek ceny $FLOW poniżej ceny ICO (0,10 USD) zintensyfikował dyskusje na temat podatności takich półmartwych tokenów na ataki hakerskie lub bankructwa firm, które za nimi stoją. Jak zauważył @AzFlin, wycofanie tokenów w efekcie „wygenerowało” nowe fundusze znikąd dla hakera, który już wypłacił miliony, podczas gdy uczciwi użytkownicy tracą.

Incydent wpisuje się w trend 2025 roku: według Chainalysis, kradzieże kryptowalut przekroczyły 3,4 miliarda dolarów, a liczba ataków hakerskich z Korei Północnej wzrosła o 51%. Flow podkreśla ryzyko związane ze scentralizowanymi elementami w „zdecentralizowanych” sieciach, gdzie klucze prywatne i dostęp administracyjny pozostają słabymi ogniwami. Społeczność apeluje o większą transparentność i zaangażowanie grup takich jak SEAL, aby zapobiegać takim przypadkom.

Pomimo szybkiej reakcji, zaufanie do Flow zostało nadszarpnięte. Czy to oznacza koniec „martwego blockchaina”, czy szansę na odrodzenie? Bądźcie czujni, aby być na bieżąco. Zespół obiecuje transparentność, ale rynek już zareagował spadkiem. W każdym razie to ostrzeżenie: w kryptowalutach nic nie jest wieczne, zwłaszcza w przypadku zapomnianych projektów.