Flow 발행 안전 사건 기술 복기 보고서

Flow 네트워크는 Cadence 가상 머신 유형 혼동 취약점에 대한 공격을 받아 토큰이 불법으로 증발했습니다. 공격자는 복잡한 "삼부분 취약점 체인"을 이용하여 자원 선형 보장을 우회하고, 자원 객체를 구조체로 위장하여 복사했습니다. 이 사건으로 약 390만 달러의 실제 경제적 손실이 발생했으며, 자금은 Celer, deBridge 등의 크로스 체인 브리지를 통해 유출되었습니다.

Flow 모니터링에 따르면, 공격자는 총 879.6억 개의 FLOW 및 여러 종류의 토큰을 생성했으며, 그 중 10.94억 개의 FLOW가 중앙화 거래소로 전송되었습니다. 검증자가 신속하게 중단하고 OKX, Gate.io, MEXC 등과 협력한 덕분에 약 98.7%의 불법 자산이 체인상 또는 거래소에서 동결되었으며, 약 4.84억 개의 FLOW가 소각되었습니다. 네트워크는 12월 29일 "격리 복구 계획"을 통해 복구되었으며, 현재는 매개변수 검증, 실행 시간 검사 및 계약 배포 논리를 포함하는 포괄적인 패치가 배포되었습니다.