Flow attribue une faille de sécurité de 3,9 millions de dollars à une vulnérabilité de confusion de type d’exécution dans Cadence

Une faille dans le langage de smart contract Cadence a coûté cher. Flow Blockchain pointe du doigt une vulnérabilité de « confusion de type d'exécution » pour expliquer un exploit de 3,9 millions de dollars. L'incident soulève des questions sur la maturité des outils de développement dans la DeFi.

Le cœur du problème : Cadence.

Le langage, conçu pour la sécurité des actifs numériques, a présenté une faille inattendue. Le bug permettait à un type de ressource d'être traité comme un autre lors de l'exécution, créant une brèche que les attaquants ont exploitée pour drainer des fonds. Un rappel brutal que le code, même conçu avec les meilleures intentions, n'est pas infaillible.

Les implications pour l'écosystème.

Flow, souvent présenté comme une plateforme plus sûre pour les NFT et les jeux, doit maintenant gérer la crise de confiance. Les développeurs se précipitent pour auditer et patcher les contrats vulnérables. Pendant ce temps, les détenteurs de jetons se demandent si leurs actifs sont vraiment à l'abri—une inquiétude qui fait chuter les prix plus vite qu'un VC ne vend ses tokens débloqués.

La sécurité reste le Saint Graal.

Cet exploit n'est pas le premier, et ne sera certainement pas le dernier. Il met en lumière le défi permanent de la sécurité on-chain. Chaque nouvelle couche de complexité, chaque fonctionnalité innovante, introduit des vecteurs d'attaque potentiels. L'industrie apprend à la dure, un smart contract à la fois.

Un coup de semonce pour l'adoption institutionnelle.

Comment convaincre les grands noms de la finance traditionnelle de se lancer quand des vulnérabilités fondamentales dans les langages de programmation peuvent entraîner des pertes de plusieurs millions en un clin d'œil ? Cela ressemble à un argument de vente difficile, même pour les plus optimistes des roadshows. La course à l'innovation doit impérativement être équilibrée par une culture de la rigueur. Sinon, la seule chose qui « flow » vraiment, ce sera la valeur hors des portefeuilles.

Flow etdentidentifient une vulnérabilité de confusion de type comme cause racine de l'exploitation

Flow a identifié une vulnérabilité de confusion de types comme la cause principale de l'attaque. Cette vulnérabilité permettait à l'attaquant de contourner les contrôles de sécurité d'exécution en dissimulant une ressource protégée sous l'apparence d'une structure de données classique. L'attaquant a ainsi coordonné l'exécution d'une quarantaine detracintelligents malveillants.

L'attaque a débuté au bloc 137 363 398 le 26 décembre 2025 à 23h25 PST. Quelques minutes après le premier déploiement, la production de jetons contrefaits a commencé. L'attaquant a utilisé des structures de données standard réplicables pour dissimuler des actifs protégés qui devraient être impossibles à copier. En exploitant la sémantique « move-only » de Cadence, il a rendu la contrefaçon de jetons possible.

Cadence et un environnement entièrement équivalent à EVM sont les deux environnements de programmation intégrés utilisés par Flow. Dans ce cas précis, l'exploit ciblait Cadence.

Le réseau est tombé en panne dans les six heures suivant la transaction malveillante initiale

Le 27 décembre, au bloc 137 390 190, les validateurs de flux ont déclenché une pause coordonnée du réseau à 5 h 23 PST. Toutes les voies de sortie ont été coupées et l’arrêt est survenu moins de six heures après la transaction malveillante initiale.

des FLOW contrefaits étaient transférés vers des comptes de dépôt centralisés. Compte tenu de leur volume et de leur irrégularité, la plupart des transferts importants de FLOW envoyés aux plateformes d'échange ont été bloqués dès leur réception. À partir du 27 décembre à 00h06 PST, quelques actifs ont été transférés hors réseau via Celer, deBridge et Stargate.

À 1 h 30 PST, les premiers signaux de détection ont été émis. À ce moment-là, les dépôts sur les plateformes d'échange étaient corrélés à des mouvements anormaux de flux FLOW entre les systèmes de change virtuels (VM). La liquidation des flux FLOW contrefaits ayant débuté à 1 h 00 PST, les plateformes d'échange centralisées ont subi une forte pression à la vente.

Les plateformes d'échange renvoient 484 millions de jetons FLOW contrefaits

Selon Flow , l'attaquant a déposé 1,094 milliard de faux FLOW sur plusieurs plateformes d'échange centralisées. Les partenaires Gate.io, MEXC et OKX ont restitué 484 434 923 FLOW, qui ont été détruits. 98,7 % des actifs contrefaits restants ont été isolés sur la blockchain et sont en cours de destruction. Un règlement complet est prévu dans les 30 jours, et la coordination avec les autres partenaires est toujours en cours.

la restauration des points de contrôle la communauté a choisi une stratégie de rétablissement. Flow a mené des consultations à l'échelle de l'écosystème avec les partenaires d'infrastructure, les exploitants de ponts et les bourses.

L'exploitation de la faille de sécurité de 3,9 millions de dollars de Flow s'inscrit dans un schéma similaire d'dentde sécurité affectant les protocoles crypto entre fin décembre 2025 et début janvier 2026. BtcTurk a subi une violation de son portefeuille chaud de 48 millions de dollars le 1er janvier 2026. Des pirates informatiques ont compromis l'infrastructure de portefeuille chaud de la plateforme d'échange centralisée et ont siphonné des fonds sur Ethereum, Arbitrum, polygon et d'autres chaînes.

Binance a connu undent de manipulation de compte de teneur de marché le 1er janvier impliquant le jeton BROCCOLI.

Vous souhaitez que votre projet soit présenté aux plus grands noms de la cryptomonnaie ? Présentez-le dans notre prochain rapport sectoriel, où données et impact se rencontrent.