Flowエクスプロイトの事後分析で、プロトコルレベルの脆弱性が判明| NEXTMONEY

Flowエクスプロイト事後分析でプロトコルレベルの脆弱性が判明

昨年（2025年）末に発生したエクスプロイト被害後の事後分析レポートで、攻撃者がプロトコルレベルの脆弱性を利用し、代替トークンを複製していたことが分かった。

2025年12月27日にFlowブロックチェーンで発生したエクスプロイトの事後分析レポートでは、プロトコルレベルの脆弱性が詳細に明らかにされており、攻撃者はこの脆弱性を利用して代替トークンを複製し、約390万ドル相当の価値を盗み出していたことが判明した。主にフロー（Flow）ブロックチェーンエコシステムの発展を支援する非営利団体Flow Foundationが発表したレポートでは次のように述べられている。

この攻撃は非常に高度な技術を駆使していました。攻撃者は40以上の悪意のあるスマートコントラクトを協調的に展開しました。

鋳造ではなく複製

攻撃者はCadence実行レイヤー（v1.8.8）の重大な脆弱性を悪用し、本来はコピー不可能であるべき保護された資産を、コピー可能な標準データ構造に偽装することに成功していた。

攻撃者はトークンを“鋳造するのではなく複製”ができたため、既存のユーザー残高に直接的な影響は及ばなかった。しかし、Flowバリデータは最初の悪意あるトランザクションから6時間以内にネットワークを停止。中央集権型取引所に既に送金されていた資金は取引所パートナーによって凍結されており、報告書で次のように詳述されている。

攻撃者は複数の中央集権型取引所に10億9,400万FLOWの偽造FLOWを預け入れました。このうち4億8,443万4,923FLOWは、協力取引所パートナーであるOKX、Gate.io、MEXCによって既に返却され、破棄されています。

Flowは残りの偽造供給量の98.7%を隔離するための措置を講じており、現在破棄を待っている状態だ。同財団は、残りの資産回収に向けて他の取引所と協力を続ける中で、攻撃者に関連するすべての預入アドレスを実行レイヤーで制限することにより、プロトコルレベルのバックストップを実現。これにより、偽造トークンは破棄のために返却されるまで、出金、ブリッジ、または譲渡できなくなっている。