Flow Fake-Token-Sicherheitslücke aufgedeckt! Innerhalb von 5 Stunden um 40 % abgestürzt, Verlust von 3,9 Millionen US-Dollar

Die Flow Foundation hat am 27. Dezember ein Protokoll-Level-Sicherheitsleck mit einem Schaden von 3,9 Millionen Dollar enthüllt. Angreifer nutzten a Cadence-Fehler aus, um Vermögenswerte zu duplizieren statt zu stehlen, und Validatoren unterbrachen das Netzwerk innerhalb von 6 Stunden. FLOW stürzte in 5 Stunden um 40% ab und fiel von 40 Dollar im Jahr 2021 auf 0,075 Dollar. Flow wurde von Dapper Labs gegründet und erhielt 725 Millionen Dollar Investitionen von a16z.

Technische Analyse der Protokoll-Level-Token-Duplikationslücke

Die Flow Foundation veröffentlichte am Dienstag einen detaillierten technischen Analysebericht zum Protokoll-Level-Sicherheitsleck vom 27. Dezember. Angreifer nutzten eine Lücke in Flows Cadence-Laufzeitumgebung aus, die es ermöglichte, bestimmte Vermögenswerte zu duplizieren statt zu prägen, wodurch die Angebotskontrollen umgangen wurden, ohne dass bestehende Benutzerguthaben zugegriffen oder verbraucht werden mussten.

Diese Angriffsart ist in der Blockchain-Sicherheitsgeschichte äußerst selten. Traditionelle Hackerattacken beinhalten normalerweise das Diebstahl von Private Keys oder die Ausnutzung von Smart-Contract-Lücken, um Benutzergelder zu überweisen, aber Flows Lücke ermöglichte es Angreifern, Token sozusagen aus dem Nichts zu „duplizieren", wie ein Kopiergerät Geld kopiert. Da der Angriff Vermögenswerte duplizierte statt Gelder von Konten zu stehlen, waren keine bestehenden Benutzerguthaben betroffen. Diese Eigenschaft macht die Lücke zunächst schwer zu erkennen, da Benutzer keinen Rückgang ihres Wallet-Guthabens bemerken würden.

Innerhalb von sechs Stunden nach der ersten bösartigen Transaktion koordinierten Validatoren den Netzwerk-Stillstand, während Exchange-Partner die meisten gefälschten Vermögenswerte einfroren, bevor sie verkauft wurden. Flow gab an, dass dieser vorübergehende Stillstand das Netzwerk in den Nur-Lese-Modus versetzte, um Ausstiegswege zu blockieren und eine weitere Datenduplizierung zu verhindern, während die Probleme untersucht wurden.

Zwei Tage später wurde der Betrieb gemäß einem „isolierten Wiederherstellungs"-Plan wieder aufgenommen, der legitime Transaktionsdatensätze bewahrte und die Rückgewinnung und permanente Vernichtung gefälschter Vermögenswerte durch einen von der Verwaltung genehmigten Prozess genehmigte. Obwohl der Angreifer große Mengen gefälschter Token in der Chain generierte, gab Flow an, dass die überwiegende Mehrheit der gefälschten Token vor der Liquidation kontrolliert oder eingefroren wurde. Als Vorsichtsmaßnahme wurden eine kleine Anzahl von Konten, die mit den gefälschten Tokens interagiert haben, vorübergehend in ihrem Zugriff eingeschränkt, während über 99% der Konten während und nach der Wiederherstellung vollständige Zugriffsrechte behielten.

Flow-Sicherheitsleck-Ereignisverlauf und Reaktionsmaßnahmen

27. Dezember Erster Angriff: Hacker nutzen Cadence-Lücke, um Token zu duplizieren

Netzwerk-Stillstand innerhalb von 6 Stunden: Validatoren koordinieren den Nur-Lese-Modus, um den Angriffsweg zu blockieren

Notfall-Gefrierung durch Exchanges: Partner frieren die meisten gefälschten Coins ein, bevor sie verkauft werden

Isolierte Wiederherstellung zwei Tage später: Legitime Transaktionen bleiben erhalten, gefälschte Vermögenswerte werden vernichtet, 99% der Konten bleiben unbeeinflusst

Der lange Abstieg von 40 Dollar auf 0,075 Dollar

(Quelle: CoinGecko)

Dapper Labs, der Schöpfer des Non-Fungible-Token-Projekts CryptoKitties, kündigte im September 2019 die Entwicklung von Flow an, eine neue Layer-1-Blockchain, die die Skalierbarkeitsprobleme von Verbraucheranwendungen wie Spielen und digitalen Sammlerstücken lösen sollte. Der frühe Erfolg von NBA Top Shot, einer NFT-Plattform für den Handel mit offiziell lizenzierten NBA-Videohighlights, half Flow Blockchain, 2020 und 2021 Mainstream-Aufmerksamkeit zu erlangen.

Vor diesem Hintergrund stieg das FLOW-Token des Netzwerks laut CoinGecko-Daten 2021 auf über 40 Dollar. Flows Entwicklungsschwung setzte sich 2022 fort, und das Projekt beschaffte sich etwa 725 Millionen Dollar von Investoren, darunter Andreessen Horowitz (a16z) und Union Square Ventures, um die Ökosystem-Entwicklung zu unterstützen. Diese erstklassige institutionelle Unterstützung führte dazu, dass Flow einst als König der NFT-Infrastruktur angesehen wurde.

Mit der Abkühlung des NFT-Marktes in den folgenden Jahren verlor das FLOW-Token auch an Dynamik und fiel seitdem aus der Top-300-Liste der Kryptowährungen heraus. Nach der Hacker-Attacke am 27. Dezember beschleunigte sich der Rückgang des FLOW-Kurses, mit einem Rückgang von etwa 40% innerhalb von fünf Stunden. Der Token-Preis fiel am 2. Januar bis auf 0,075 Dollar herab, bevor er wieder zu steigen begann. Laut Cointelegraph notierte der Token zum Zeitpunkt der Veröffentlichung nahe 0,10 Dollar und war in den letzten 24 Stunden um etwa 16% gestiegen.

Von 40 Dollar auf 0,075 Dollar, ein Rückgang von über 99,8%, ist auch für den Krypto-Markt extrem. Flows Niedergang spiegelt die Schwierigkeiten des gesamten NFT-Infrastruktur-Sektors wider. Wenn die spekulative Euphorie verflüchtigt, werden Projekte ohne praktische Anwendungen schnell von dem Markt aufgegeben.

Behebung der Sicherheitslücke und zukünftige Sicherheitsmaßnahmen

Die Foundation gab an, dass sie die zugrunde liegende Lücke behoben hat, strengere Laufzeit-Checks hinzugefügt und Regressionstests erweitert hat, um ähnliche Angriffe zu verhindern. Darüber hinaus arbeiten sie mit Forensik-Partnern und Strafverfolgungsbehörden zusammen und planen, Überwachung und das Vulnerability-Bounty-Programm als Teil umfassenderer Sicherheitsverstärkungsmaßnahmen zu verstärken.

Diese umfassende Sicherheitsreaktion ist notwendig, offenbarte aber auch Mängel in Flows frühem Design. Cadence als zentrale Smart-Contract-Sprache von Flow mit einer Laufzeitumgebung, die eine Lücke aufwies, die Asset-Duplizierung ermöglichte, deutet auf Blindstellen in der Code-Überprüfung und Sicherheitstests hin. Für eine Blockchain, die Jahre laufen und hunderte Millionen Dollar an Transaktionen abgewickelt hat, ist das Auftreten einer solchen Protokoll-Level-Lücke äußerst selten und schwerwiegend.

Die Verstärkung des Vulnerability-Bounty-Programms ist ein positives Zeichen, aber das Vertrauen der Investoren ist bereits beschädigt. Flow muss durch kontinuierliche Sicherheitsprüfungen, transparente Incident-Berichte und eine Bilanz ohne Sicherheitslücken Vertrauen wiederaufbauen. In dem derzeit wettbewerbsintensiven Layer-1-Markt könnte ein großer Sicherheitsvorfall tödlich sein.