Flow enfrenta críticas por retroceso tras un exploit de 3,9 millones de dólares que afecta la capa de ejecución

Flow se detiene tras una explotación de 3,9 millones de dólares, abandona un plan completo de reversión y opta por quemas de tokens selectivas para preservar la actividad de los usuarios y restaurar la confianza.
Resumen

• Un atacante explotó la capa de ejecución de Flow por aproximadamente 3,9 millones de dólares a través de puentes entre cadenas antes de que los validadores detuvieran la red y solicitaran congelaciones a los emisores y exchanges.
• Una reversión propuesta a un punto de control previo al ataque generó críticas por parte de operadores de puentes y abogados, quienes advirtieron sobre saldos duplicados, activos no respaldados y daños a la confianza.
• El plan revisado de Flow elimina una reversión global, apunta a emisiones fraudulentas, fasea el reinicio y restringe las cuentas marcadas mientras preserva la actividad legítima de los usuarios.

La propuesta de la blockchain Flow para revertir transacciones tras una explotación de 3,9 millones de dólares generó oposición por parte de socios del ecosistema, lo que llevó a la fundación de la red a revisar su enfoque de remediación.

Flow crypto se mueve junto con los puentes entre cadenas

Un atacante explotó una vulnerabilidad en la capa de ejecución (FLOW) de Flow el 27 de diciembre, extrayendo aproximadamente 3,9 millones de dólares en activos a través de múltiples puentes entre cadenas antes de que los validadores detuvieran la cadena, según la Flow Foundation. La fundación y el socio forense FindLabs indicaron que no se accedieron a los saldos existentes de los usuarios y que la explotación fue contenida, enviando solicitudes de congelación a los principales exchanges y emisores de stablecoins.

Se identificó la wallet de Ethereum del atacante, y los investigadores reportaron rastrear intentos de lavado a través de Thorchain y Chainflip.

Los desarrolladores principales de Flow propusieron una reversión a un punto de control previo a la explotación, que borraría todas las transacciones enviadas durante una ventana de varias horas y requeriría que los usuarios y proveedores de infraestructura vuelvan a enviar su actividad. La Fundación afirmó que la reversión neutralizaría la acuñación no autorizada y restauraría el libro mayor.

Alex Smirnov, fundador del puente entre cadenas deDeBridge, dijo que se enteró de la decisión de reversión tras su anuncio público. Smirnov advirtió que revertir la cadena podría crear saldos duplicados para los usuarios que bridgieron activos durante la ventana de reversión, mientras que otros que bridgieron en ese momento enfrentarían pérdidas sin un plan claro de reembolso. Hizo un llamado a los validadores de Flow para que detuvieran la validación de transacciones hasta que la Fundación aclarara la resolución de estos casos y cómo los custodios, como LayerZero, el principal custodio de USDC en Flow, manejarían las transferencias afectadas.

Los datos de Flowscan mostraron que la red se detuvo en una altura de bloque fija durante un período prolongado. El token FLOW cayó tras el anuncio de la explotación y la reversión, y algunos exchanges centralizados suspendieron temporalmente las transacciones, según datos del mercado.

Los datos de DefiLlama mostraron que el valor total bloqueado en Flow cayó después del incidente y luego se recuperó parcialmente en 24 horas.

Gabriel Shapiro, asesor legal general en Delphi Labs, afirmó que el enfoque arriesgaba a trasladar pérdidas a los puentes y emisores creando activos no respaldados. Smirnov argumentó que el daño financiero por una reversión podría superar la explotación original. Las reversión de cadenas siguen siendo raras en las redes de criptomonedas debido a preocupaciones sobre revertir transacciones confirmadas y dudas sobre la descentralización.

El 29 de diciembre, la Fundación Flow anunció un plan de remediación revisado desarrollado en consulta con operadores de puentes, exchanges y validadores. El enfoque actualizado abandonó una reversión global y se centró en aislar y destruir tokens emitidos fraudulentamente, mientras preservaba la actividad legítima de los usuarios. Dapper Labs, que lanzó Flow, dijo que revisó y apoyó el plan revisado y que ningún saldo o activo de usuarios de Dapper Labs fue afectado.

Bajo el nuevo plan, la red se reiniciaría en fases, restringiendo temporalmente las cuentas identificadas mediante análisis forense como receptores de tokens ilícitos. Los validadores aprobaron una actualización de software que permite la remediación selectiva, y la red volvió a estar en línea en modo de prueba de solo lectura antes de una restauración por fases. La Fundación afirmó que la mayoría de las cuentas permanecerían sin cambios, y prometió actualizaciones continuas a medida que las operaciones normales se reanuden gradualmente.