Flow culpa a la vulnerabilidad de confusión de tipos en tiempo de ejecución de Cadence por una explotación de 3,9 millones de dólares

Flow publicó un informe posterior aldent el 6 de enero de 2026, en el que se analiza la causa raíz de su exploit de 3,9 millones de dólares.

Un atacante aprovechó una vulnerabilidad de confusión de tipos en el tiempo de ejecución de Cadence para falsificar tokens. Flow indicó que no se accedió ni se comprometió ningún saldo de usuario existente.

Flow identla vulnerabilidad de confusión de tipos como causa raíz del exploit

Flow determinó que una vulnerabilidad de confusión de tipos era la causa principal. Esta vulnerabilidad permitió al atacante evadir las comprobaciones de seguridad en tiempo de ejecución camuflando un activo protegido como una estructura de datos normal. El atacante coordinó la ejecución de unos 40tracinteligentes maliciosos.

El ataque comenzó a la altura del bloque 137 363 398 el 26 de diciembre de 2025 a las 23:25 PST. Minutos después del primer despliegue, comenzó la producción de tokens falsificados. El atacante utilizó estructuras de datos estándar replicables para ocultar activos protegidos que deberían ser incopiables. Al aprovechar la semántica de solo movimiento de Cadence, esto posibilitó la falsificación de tokens.

Cadence y un entorno totalmente equivalente a EVM son los dos entornos de programación integrados que ejecuta Flow. En este caso, el exploit se dirigió a Cadence.

La red se cayó dentro de las seis horas siguientes a la transacción maliciosa inicial

El 27 de diciembre, a la altura del bloque 137 390 190, los validadores de flujo iniciaron una pausa coordinada en la red a las 05:23 PST. Se cortaron todas las vías de escape y la interrupción se produjo menos de seis horas después de la transacción maliciosa inicial.

FLOW falsificados a cuentas de depósito centralizadas en exchanges. Debido a su tamaño e irregularidad, la mayoría de las grandes transferencias de FLOW enviadas a exchanges se congelaron al recibirse. A partir de las 00:06 PST del 27 de diciembre, algunos activos se desconectaron de la red mediante Celer, deBridge y Stargate.

A la 01:30 PST, se detectaron las primeras señales. En ese momento, los depósitos en los exchanges se correlacionaron con movimientos anómalos de FLOW entre máquinas virtuales. A medida que se liquidaban los FLOW falsificados a partir de la 1:00 PST, los exchanges centralizados se enfrentaron a una importante presión de venta.

Los exchanges devuelven 484 millones de tokens FLOW falsificados

Según Flow , el atacante depositó 1.094 millones de FLOW falsos en varias plataformas de intercambio centralizadas. Los socios de intercambio Gate.io, MEXC y OKX devolvieron 484.434.923 FLOW, que fueron destruidos. El 98,7 % del suministro restante de productos falsificados se ha aislado en la cadena y está en proceso de destrucción. Se prevé una resolución completa en 30 días, y la coordinación con otros socios de intercambio aún está en curso.

Tras evaluar la comunidad diversas opciones de recuperación, incluida la restauración de los puntos de control , se optó por la estrategia de recuperación. Flow realizó consultas a nivel de ecosistema con socios de infraestructura, operadores de puentes y bolsas de valores.

La vulnerabilidad de $3.9 millones de Flow ocurrió dentro de un patrón similar dedentde seguridad que afectaron a los protocolos de cifrado a fines de diciembre de 2025 y principios de enero de 2026. BtcTurk sufrió una violación de billetera caliente de $48 millones el 1 de enero de 2026. Los piratas informáticos comprometieron la infraestructura de billetera caliente del intercambio centralizado y desviaron fondos a través de Ethereum, Arbitrum, Polygon y otras cadenas.

Binance experimentó undent de manipulación de cuenta de creador de mercado el 1 de enero que involucró al token BROCCOLI.

¿Quieres que tu proyecto esté presente en las mentes más brillantes del mundo de las criptomonedas? Preséntalo en nuestro próximo informe del sector, donde los datos se combinan con el impacto.