Flow macht Cadence-Runtime-Typverwechslungsschwachstelle für 3,9 Millionen US-Dollar Exploit verantwortlich

Flow veröffentlichte am 6. Januar 2026 einen Bericht nach dem Vorfall, in dem die Grundursache der 3,9 Millionen Dollar Sicherheitslücke erläutert wurde.

Ein Angreifer nutzte eine Typverwechslungsschwachstelle der Cadence-Laufzeitumgebung aus, um Token zu fälschen. Flow teilte mit, dass keine bestehenden Nutzerguthaben abgerufen oder kompromittiert wurden.

Flow identifiziert Typverwechslungsschwachstelle als Grundursache der Sicherheitslücke

Eine Typverwechslungsschwachstelle wurde von Flow als Hauptursache identifiziert. Die Schwachstelle ermöglichte es dem Angreifer, Laufzeit-Sicherheitsprüfungen zu umgehen, indem er ein geschütztes Asset als reguläre Datenstruktur tarnte. Der Angreifer koordinierte die Ausführung von etwa 40 bösartigen Smart Contracts.

Der Angriff begann am 26. Dezember 2025 um 23:25 Uhr PST bei Blockhöhe 137.363.398. Minuten nach der ersten Bereitstellung begann die Produktion gefälschter Token. Der Angreifer verwendete replizierbare Standarddatenstrukturen, um geschützte Assets zu tarnen, die nicht kopierbar sein sollten. Durch die Ausnutzung der Nur-Verschieben-Semantik von Cadence wurde die Token-Fälschung ermöglicht.

Cadence und eine vollständig EVM-äquivalente Umgebung sind die beiden integrierten Programmierumgebungen, die von Flow betrieben werden. In diesem Fall zielte die Sicherheitslücke auf Cadence ab.

Netzwerk innerhalb von sechs Stunden nach der ersten bösartigen Transaktion ausgefallen

Am 27. Dezember um 05:23 Uhr PST bei Blockhöhe 137.390.190 starteten die Flow-Validatoren eine koordinierte Netzwerkpause. Alle Fluchtwege wurden abgeschnitten, und die Unterbrechung erfolgte weniger als sechs Stunden nach der ersten bösartigen Transaktion.

Gefälschte FLOW wurden am 26. Dezember um 23:42 Uhr PST auf zentralisierte Einzahlungskonten von Börsen übertragen. Aufgrund ihrer Größe und Unregelmäßigkeit wurden die meisten großen FLOW-Überweisungen, die an Börsen gesendet wurden, beim Empfang eingefroren. Ab 00:06 Uhr PST am 27. Dezember wurden einige Assets über Celer, deBridge und Stargate aus dem Netzwerk überbrückt.

Um 01:30 Uhr PST wurden die ersten Erkennungssignale ausgelöst. Zu diesem Zeitpunkt wurden Börseneinzahlungen mit anomalen VM-übergreifenden FLOW-Bewegungen korreliert. Als gefälschte FLOW ab 01:00 Uhr PST liquidiert wurden, sahen sich zentralisierte Börsen einem erheblichen Verkaufsdruck ausgesetzt.

Börsen geben 484 Millionen gefälschte FLOW-Token zurück

Laut Flow hinterlegte der Angreifer 1,094 Milliarden gefälschte FLOW bei mehreren zentralisierten Börsen. Die Börsenpartner Gate.io, MEXC und OKX gaben 484.434.923 FLOW zurück, die vernichtet wurden. 98,7% der verbleibenden gefälschten Bestände wurden onchain isoliert und werden derzeit vernichtet. Eine vollständige Lösung wird in 30 Tagen erwartet, und die Koordination mit anderen Börsenpartnern ist noch im Gange.

Nachdem die Community mehrere Wiederherstellungsoptionen, einschließlich der Checkpoint-Wiederherstellung, bewertet hatte, wurde die Wiederherstellungsstrategie gewählt. Flow führte ökosystemweite Konsultationen mit Infrastrukturpartnern, Brückenbetreibern und Börsen durch.

Die 3,9 Millionen Dollar Sicherheitslücke von Flow ereignete sich innerhalb eines ähnlichen Musters von Sicherheitsvorfällen, die Krypto-Protokolle Ende Dezember 2025 und Anfang Januar 2026 betrafen. BtcTurk erlitt am 1. Januar 2026 einen 48 Millionen Dollar Hot-Wallet-Einbruch. Hacker kompromittierten die Hot-Wallet-Infrastruktur der zentralisierten Börse und leiteten Gelder über Ethereum, Arbitrum, Polygon und andere Chains ab.

Binance erlebte am 1. Januar einen Manipulationsvorfall auf einem Market-Maker-Konto, der den BROCCOLI-Token betraf.

Möchten Sie Ihr Projekt vor die führenden Köpfe der Kryptobranche bringen? Präsentieren Sie es in unserem nächsten Branchenbericht, wo Daten auf Wirkung treffen.