L'exploit sulla blockchain Flow porta a perdite per 3,9 milioni di dollari da token falsi
▪︎ Il 27 dicembre 2025, un difetto a livello di protocollo nel runtime Cadence di Flow ha permesso a un attaccante di duplicare token invece di crearli, causando perdite confermate per 3,9 milioni di dollari.
▪︎ Nessun saldo utente esistente è stato interessato, poiché l'exploit ha creato beni falsi invece di svuotare gli account.
▪︎ I validator hanno fermato la rete entro sei ore, passando a una modalità di sola lettura per impedire ulteriori duplicazioni. Le operazioni sono riprese due giorni dopo con un piano di recupero guidato dalla governance, distruggendo permanentemente i token falsi e preservando la cronologia delle transazioni legittime.
▪︎ La Flow Foundation ha risolto la vulnerabilità, aggiunto controlli più rigorosi nel runtime, ampliato i test di regressione e sta migliorando i programmi di bounty per bug e il monitoraggio.
▪︎ Il prezzo del token FLOW è stato fortemente colpito, scendendo del ~40% in cinque ore dopo l'exploit, raggiungendo un minimo di 0,075 dollari il 2 gennaio, prima di riprendersi parzialmente a 0,10 dollari.
▪︎ L'incidente mette in evidenza l'importanza della sicurezza a livello di layer-1 e della governance della rete nel mantenere la fiducia per blockchain orientate agli NFT e ai giochi come Flow.
