Flow menghadapi reaksi keras setelah eksploitasi senilai $3,9 juta terjadi di lapisan eksekusi

Flow berhenti setelah exploit sebesar $3.9juta, meninggalkan rencana rollback penuh dan memilih pembakaran token yang ditargetkan untuk mempertahankan aktivitas pengguna dan mengembalikan kepercayaan.
Ringkasan

• Seorang penyerang mengeksploitasi lapisan eksekusi Flow untuk sekitar $3.9juta melalui jembatan lintas rantai sebelum validator menghentikan jaringan dan meminta pembekuan dari penerbit dan bursa.
• Usulan rollback ke titik pemeriksaan sebelum serangan mendapatkan kritik dari operator jembatan dan pengacara, yang memperingatkan tentang saldo ganda, aset yang tidak didukung, dan kerusakan kepercayaan.
• Rencana revisi Flow membatalkan rollback global, menargetkan pencetakan palsu, memphase restart dan membatasi akun yang ditandai sambil mempertahankan aktivitas pengguna yang sah.

Usulan blockchain Flow untuk membalik transaksi setelah exploit sebesar $3.9 juta memicu oposisi dari mitra ekosistem, mendorong yayasan jaringan untuk merevisi pendekatan remediasi mereka.

Crypto Flow bergerak bersama jembatan lintas rantai

Seorang penyerang mengeksploitasi kerentanan di lapisan (FLOW) eksekusi Flow pada 27 Desember, mengekstrak sekitar $3.9juta dalam aset melalui beberapa jembatan lintas rantai sebelum validator menghentikan rantai, menurut Flow Foundation. Yayasan dan mitra forensik FindLabs menyatakan bahwa saldo pengguna yang ada tidak diakses dan bahwa exploit tersebut terkendali, dengan permintaan pembekuan dikirim ke bursa utama dan penerbit stablecoin.

Dompet Ethereum penyerang diidentifikasi, dan penyelidik melaporkan melacak upaya pencucian melalui Thorchain dan Chainflip.

Pengembang inti Flow mengusulkan rollback ke titik pemeriksaan sebelum exploit, yang akan menghapus semua transaksi yang diajukan selama jendela beberapa jam dan mengharuskan pengguna serta penyedia infrastruktur untuk mengirim ulang aktivitas. Yayasan menyatakan rollback akan menetralkan pencetakan tidak sah dan mengembalikan buku besar.

Alex Smirnov, pendiri jembatan lintas rantai deBridge, mengatakan dia mengetahui keputusan rollback setelah pengumuman publiknya. Smirnov memperingatkan bahwa membalik rantai bisa menciptakan saldo ganda bagi pengguna yang men-bridge aset keluar selama jendela rollback, sementara yang lain yang men-bridge masuk menghadapi kerugian tanpa rencana penggantian yang jelas. Dia menyeru validator Flow untuk menghentikan validasi transaksi sampai Yayasan memperjelas penyelesaian kasus ini dan bagaimana custodian seperti LayerZero, custodian USDC utama di Flow, akan menangani transfer yang terdampak.

Data Flowscan menunjukkan jaringan terhenti di ketinggian blok tetap untuk waktu yang lama. Token FLOW menurun setelah pengumuman exploit dan rollback, dan beberapa bursa terpusat sementara menangguhkan transaksi, menurut data pasar.

Data DefiLlama menunjukkan total nilai terkunci Flow menurun setelah insiden sebelum pulih sebagian dalam 24 jam.

Gabriel Shapiro, penasihat umum di Delphi Labs, menyatakan pendekatan ini berisiko mendorong kerugian ke jembatan dan penerbit dengan menciptakan aset yang tidak didukung. Smirnov berpendapat bahwa kerusakan finansial dari rollback bisa melebihi exploit asli. Rollback rantai tetap jarang di jaringan cryptocurrency karena kekhawatiran tentang membalik transaksi yang dikonfirmasi dan pertanyaan tentang desentralisasi.

Pada 29 Desember, Yayasan Flow mengumumkan rencana remediasi revisi yang dikembangkan dalam konsultasi dengan operator jembatan, bursa, dan validator. Pendekatan yang diperbarui meninggalkan rollback global dan sebaliknya fokus pada mengisolasi dan menghancurkan token yang dicetak secara curang sambil mempertahankan aktivitas pengguna yang sah. Dapper Labs, yang meluncurkan Flow, mengatakan telah meninjau dan mendukung rencana revisi tersebut dan bahwa tidak ada saldo atau aset pengguna Dapper Labs yang terdampak.

Di bawah rencana baru, jaringan akan memulai kembali secara bertahap, sementara membatasi sementara akun yang diidentifikasi melalui analisis forensik sebagai penerima token ilegal. Validator menyetujui peningkatan perangkat lunak yang memungkinkan remediasi yang ditargetkan, dan jaringan kembali online dalam mode pengujian read-only sebelum pemulihan bertahap. Yayasan menyatakan sebagian besar akun akan tetap tidak terpengaruh, dengan pembaruan berkelanjutan dijanjikan saat operasi normal secara bertahap dilanjutkan.