- Зловмисник вивів $3,9 млн під час експлойту мережі Flow.
- Він використав мости Celer, deBridge, Relay та Stargate для виведення коштів.
- Flow локалізувала злом і відстежує відмивання коштів через THORChain і Chainflip.
27 грудня 2025 року мережа Flow зазнала цілеспрямованої атаки на рівень виконання (execution layer), унаслідок якої зловмисник вивів з екосистеми активи на суму близько $3,9 млн.
This is the verified update from the Flow Foundation.
INCIDENT CONFIRMED
On December 27, 2025, an attacker exploited a vulnerability in Flow's execution layer and moved approximately $3.9M in assets off-network before validators executed a coordinated halt.
Critically, this… https://t.co/KEXzo0w8as— Flow.com (@flow_blockchain) December 27, 2025
За даними Flow Foundation, атаку оперативно локалізували після скоординованої зупинки мережі валідаторами, що дозволило повністю перекрити подальші шляхи виведення коштів. При цьому ключовим є те, що баланси користувачів не постраждали.
У Flow Foundation наголосили:
«Критично важливо, що цей експлойт не надав доступу до наявних користувацьких балансів. Усі депозити користувачів залишаються в безпеці».
За результатами форензик-аналізу, кошти переважно виводилися через міжмережеві мости Celer, deBridge, Relay та Stargate, після чого частину активів конвертували в Ethereum (ETH), WBTC і стейблкоїни. Загалом підтверджено виведення:
- близько $3,9 млн в еквіваленті;
- 9,8 WBTC (приблизно $930 000 на момент транзакцій);
- 339 000 PYUSD, які згодом було конвертовано в Ethereum (ETH).
Гаманець зловмисника в мережі Ethereum вже ідентифіковано та позначено як шкідливий. У Foundation зазначили, що наразі фіксуються спроби активного відмивання коштів через протоколи з підвищеною приватністю, зокрема Thorchain та Chainflip.
«Активне відмивання коштів через THORChain і Chainflip відстежується в режимі реального часу», — повідомили у фонді.
Flow Foundation підтвердила, що вже направила запити на замороження активів до ключових учасників ринку, включно з компаніями Circle, Tether, а також великими криптобіржами — Binance, Coinbase та Kraken. До розслідування залучені зовнішні форензик-партнери та правоохоронні органи.
За словами команди, обсяг підтверджених втрат «є керованим і не становить загрози платоспроможності мережі або коштам користувачів».
Протокольне виправлення завершене і проходить фінальну валідацію в тестовому середовищі. Flow Foundation повідомила, що перезапуск мережі запланований протягом 4-6 годин, за умови успішного тестування.
«Мережу не перезапустять, доки виправлення не буде повністю перевірене», — підкреслили в організації.
Наступне оновлення статусу очікується протягом двох годин, а повний технічний постмортем обіцяють опублікувати протягом 72 годин.
Атака на Flow відбулася на тлі загального погіршення безпекової ситуації в DeFi-секторі. Раніше генеральний директор Chainalysis Джонатан Левін попереджав, що індустрія «зосереджена на прибутках, а не на кібербезпеці», а успішні протоколи часто містять критичні точки вразливості.
У грудні протокол Yearn Finance зазнав одразу кількох атак: спочатку втратив $9 млн через експлойт пулу yETH, а згодом ще близько $300 000 унаслідок злому старого сховища V1. Частину коштів тоді було проведено через міксер Tornado Cash.
Згідно зі звітом CertiK, загальні збитки від криптозломів у 2025 році досягли $3,3 млрд, попри зменшення кількості інцидентів. Аналітики відзначають, що втрати концентруються у кількох технічно складних атаках, що підкреслює системні ризики для індустрії.
Сообщение Flow підтвердила атаку на мережу зі збитками на майже $4 млн появились сначала на INCRYPTED.
