Flow fait face à une réaction négative après qu'une faille de 3,9 millions de dollars ait touché la couche d'exécution

Flow s’arrête après une exploitation de 3,9 millions de dollars, abandonne un plan de rollback complet et opte pour des brûlures ciblées de tokens afin de préserver l’activité des utilisateurs et de restaurer la confiance.
Résumé

• Un attaquant a exploité la couche d’exécution de Flow pour environ 3,9 millions de dollars via des ponts cross-chain avant que les validateurs ne stoppent le réseau et ne demandent des gels auprès des émetteurs et des échanges.
• Un rollback proposé à un point de contrôle antérieur à l’attaque a suscité des critiques de la part des opérateurs de ponts et des avocats, qui ont averti des doubles soldes, des actifs non garantis et des dommages à la confiance.
• Le plan révisé de Flow abandonne un rollback global, cible les mints frauduleux, phase le redémarrage et limite les comptes signalés tout en préservant l’activité légitime des utilisateurs.

La proposition de la blockchain Flow de revenir sur des transactions suite à une exploitation de 3,9 millions de dollars a suscité l’opposition des partenaires de l’écosystème, poussant la fondation du réseau à revoir son approche de remédiation.

Flow crypto évolue avec les ponts cross-chain

Un attaquant a exploité une vulnérabilité dans la couche d’exécution (FLOW) de Flow le 27 décembre, extrayant environ 3,9 millions de dollars d’actifs via plusieurs ponts cross-chain avant que les validateurs ne stoppent la chaîne, selon la Flow Foundation. La fondation et le partenaire forensic FindLabs ont déclaré que les soldes existants des utilisateurs n’avaient pas été accessibles et que l’exploitation avait été contenue, avec des demandes de gel envoyées aux principales plateformes d’échange et aux émetteurs de stablecoins.

Le portefeuille Ethereum de l’attaquant a été identifié, et les enquêteurs ont rapporté suivre des tentatives de blanchiment via Thorchain et Chainflip.

Les développeurs principaux de Flow ont proposé un rollback à un point de contrôle antérieur à l’exploitation, ce qui effacerait toutes les transactions soumises durant une fenêtre de plusieurs heures et obligerait les utilisateurs et fournisseurs d’infrastructure à resoumettre leur activité. La Fondation a indiqué que le rollback neutraliserait la création non autorisée de tokens et restaurerait le registre.

Alex Smirnov, fondateur de la bridge cross-chain deBridge, a déclaré avoir appris la décision de rollback après son annonce publique. Smirnov a averti que revenir en arrière pourrait créer des doubles soldes pour les utilisateurs qui ont transféré des actifs durant la fenêtre de rollback, tout en laissant d’autres qui ont transféré des fonds en face de pertes sans plan clair de remboursement. Il a appelé les validateurs de Flow à suspendre la validation des transactions jusqu’à ce que la Fondation clarifie la résolution de ces cas et la manière dont les custodians comme LayerZero, le principal custodien USDC sur Flow, géreraient les transferts affectés.

Les données de Flowscan montraient que le réseau était bloqué à une hauteur de bloc fixe pendant une période prolongée. Le jeton FLOW a chuté après l’annonce de l’exploitation et du rollback, et certains échanges centralisés ont temporairement suspendu les transactions, selon les données du marché.

Les données de DefiLlama ont montré que la valeur totale verrouillée de Flow a diminué après l’incident avant de rebondir partiellement en 24 heures.

Gabriel Shapiro, conseiller général chez Delphi Labs, a déclaré que l’approche risquait de transférer les pertes aux ponts et aux émetteurs en créant des actifs non garantis. Smirnov a soutenu que les dommages financiers d’un rollback pourraient dépasser l’exploitation initiale. Les rollback de chaîne restent rares dans les réseaux de cryptomonnaies en raison de préoccupations concernant la reversal de transactions confirmées et des questions sur la décentralisation.

Le 29 décembre, la Flow Foundation a annoncé un plan de remédiation révisé élaboré en consultation avec les opérateurs de ponts, les échanges et les validateurs. La nouvelle approche a abandonné un rollback global et s’est concentrée sur l’isolement et la destruction des tokens frauduleusement créés tout en préservant l’activité légitime des utilisateurs. Dapper Labs, qui a lancé Flow, a déclaré avoir examiné et soutenu le plan révisé et qu’aucun solde ou actif d’utilisateur Dapper Labs n’avait été impacté.

Selon le nouveau plan, le réseau redémarrerait par phases, limitant temporairement les comptes identifiés par analyse forensic comme recevant des tokens illicites. Les validateurs ont approuvé une mise à jour logicielle permettant la remédiation ciblée, et le réseau est revenu en mode test en lecture seule avant une restauration progressive. La Fondation a indiqué que la majorité des comptes resteraient inchangés, avec des mises à jour continues promises à mesure que les opérations normales reprendront progressivement.