بررسی حادثه امنیتی Flow: آسیب‌پذیری Type Confusion در Cadence عامل اصلی بود

By: theblockbeats.news|2026/04/17 13:53:46

اشتراک‌گذاری

did-4610">BlockBeats News، ۷ ژانویه، Flow گزارش بازنگری در حادثه حمله را منتشر کرد و بیان داشت که مهاجم با سوءاستفاده از یک آسیب‌پذیری در شبکه Flow، توکن‌های جعلی ضرب کرده و حدود ۳.۹ میلیون دلار را از طریق یک حمله پل (bridging) سرقت کرده است. این حمله به هیچ‌یک از موجودی‌های فعلی کاربران دسترسی پیدا نکرد و نشت اطلاعاتی رخ نداد. این حمله دارایی‌ها را کپی کرد اما دارایی‌های قانونی کاربران را لمس نکرد، و بخش عمده دارایی‌های جعلی قبل از نقدینگی در بلاک‌چین ذخیره شده یا توسط شرکای صرافی ارز دیجیتال مسدود شدند. اعتبارسنج‌های شبکه یک اقدام حاکمیت غیرمتمرکز را برای تخریب دائمی تمام دارایی‌های جعلی تصویب کردند. شبکه در ۲۹ دسامبر فعالیت خود را از سر گرفت، در حال حاضر به آرامی در حال اجرا است و تمام تاریخچه تراکنش‌ها حفظ شده است.

مهاجم به‌طور متوالی بیش از ۴۰ قرارداد هوشمند مخرب را مستقر کرد و از یک زنجیره حمله سه مرحله‌ای استفاده کرد: ۱) دور زدن تأییدیه واردات پیوست؛ ۲) دور زدن بررسی‌های دفاعی انواع داخلی؛ ۳) بهره‌برداری از یک آسیب‌پذیری معنایی در مقداردهنده اولیه قرارداد. علت اصلی، یک آسیب‌پذیری Type Confusion در زمان اجرای Cadence (نسخه ۱.۸.۸) بود که اکنون وصله شده است (نسخه ۱.۸.۹ و بالاتر). این آسیب‌پذیری به مهاجم اجازه داد تا دارایی‌های محافظت‌شده (که نباید قابل کپی باشند) را به عنوان ساختارهای داده استاندارد (که قابل کپی هستند) مبدل کند، که باعث دور زدن بررسی‌های امنیتی زمان اجرا و امکان ضرب توکن شد.

علاوه بر انتقال دارایی‌ها از Flow، مهاجم همچنین تلاش کرد تا FLOW جعلی را در چندین صرافی ارز دیجیتال متمرکز deposits کند، اما به دلیل حجم معاملات غیرعادی و پروتکل‌های ضد پولشویی داخلی، چندین صرافی واریزی را پس از دریافت مسدود کردند. حدود ۵۰٪ از واریزی‌های FLOW جعلی توسط صرافی‌های همکار (مانند OKX، Gate، MEXC) بازگردانده و تخریب شده‌اند، در حالی که بنیاد همچنان به هماهنگی فعال با سایر پلتفرم‌های صرافی ادامه می‌دهد.

قیمت --

ممکن است شما نیز علاقه‌مند باشید

46 دقیقه، 292 میلیون دلار دزدیده شده، DeFi دوباره با معضل توسعه مواجه است

"بیایید ابتدا از DeFi خارج شویم، این خیلی خطرناک است." این بار خسارت بسیار بیشتر از Drift/Cowswap است..." دوفی وانگ، سرمایه‌گذار معروف DeFi گفت.

چگونه در سال 2026 USDT رایگان کسب کنیم: نیاز به حجم بالا نیست (راهنمای مهمانی پوکر WEEX)

آیا Joker Crypto در سال 2026 معتبر است یا فقط یک میم‌کوین دیگر است؟ آیا واقعاً می‌توانید در سال 2026 با Joker Crypto درآمد غیرفعال کسب کنید؟ یاد بگیرید که جوایز استیکینگ Joker چگونه کار می‌کند، چگونه می‌توانید پاداش‌های NFT کسب کنید، دامنه‌های APY مورد انتظار، تخفیف‌های هزینه گاز و چگونه قبل از پیوستن از کلاهبرداری‌های کریپتو جلوگیری کنید.

چگونه در سال ۲۰۲۶ جایزه خوش‌آمدگویی رایگان USDT دریافت کنیم: تا ۷۰۰ USDT در WEEX کسب کنید

بونوس خوش‌آمدگویی رایگان واقعی ۲۰۲۶: با Auto Earn Boost Fest بیاموزید چگونه تا ۷۰۰ USDT در WEEX کسب کنید. موجودی خود را افزایش دهید، Auto Earn را فعال کنید و به‌طور خودکار واجد شرایط شوید.

پرداخت‌های عامل هوش مصنوعی بالاخره واقعی شدند: Utexo × x402 تراکنش‌های ۵۰ میلی‌ثانیه‌ای USDT را در مقیاس اینترنت ارائه می‌دهد.

Utexo، USDT را در پروتکل x402 ادغام می‌کند و امکان پرداخت‌های فوری ۵۰ میلی‌ثانیه‌ای را به‌صورت بومی در درخواست‌های HTTP فراهم می‌آورد. کاوش کنید که چگونه این پیشرفت، قواعد پرداخت به عامل‌های هوش مصنوعی، درآمدزایی از طریق API و اقتصاد ماشین‌به‌ماشین را بازنویسی می‌کند.

چه چیزی پول هوشمند را از بقیه در دنیای کریپتو متمایز می‌کند؟ بینش‌هایی از آزادی پول

بیشتر معامله‌گران ارزهای دیجیتال نه به دلیل بدشانسی، بلکه به دلیل درک نادرست از نحوه‌ی عملکرد واقعی بازار، پول خود را از دست می‌دهند. از آزادی پول گرفته تا ظهور و سقوط سم بنکمن-فرید، آنها یک شکاف کلیدی در کریپتو را برجسته می‌کنند: کسانی که بازار را می‌سازند و کسانی که آن را دنبال می‌کنند. این راهنمای مطالعه، کتاب‌های ضروری را بررسی می‌کند که نشان می‌دهند چگونه روایت، مقررات، سرمایه و روانشناسی، موفقیت بلندمدت در صنعت کریپتو را شکل می‌دهند.