Эксплуатация уязвимости Flow на $3,9 млн и откат, который почти случился: как 48 часов проверили на прочность главное обещание блокчейна

27 декабря 2025 года злоумышленник воспользовался уязвимостью в уровне исполнения Flow, выпустил 87,4 миллиарда поддельных токенов и вывел 3,9 миллиона долларов через кроссчейн-мосты, прежде чем валидаторы успели нажать на тормоза. То, что произошло дальше, не было просто техническим анализом инцидента — это стало одним из самых показательных кризисов управления в истории блокчейна, заставив индустрию столкнуться с вопросом, который она избегала со времен форка DAO в Ethereum в 2016 году: когда блокчейн ломается, кто имеет право переписывать историю?

Анатомия атаки

Взлом Flow начался как незаметная аномалия в пятницу днем. Злоумышленник обнаружил уязвимость в уровне исполнения Flow — компоненте, отвечающем за обработку транзакций и управление изменениями состояния в сети. В отличие от типичных багов в смарт-контрактах, это была уязвимость на уровне протокола, которая позволила злоумышленнику выпускать токены буквально «из воздуха».

Ущерб был нанесен хирургически точно. Злоумышленник выпустил нативные токены FLOW, обернутый биткоин (WBTC), обернутый эфир (WETH) и стейблкоины — и все это не затронув баланс ни одного существующего пользователя. По словам ончейн-аналитика Wazz, характер атаки больше напоминал компрометацию закрытого ключа, чем обычный взлом смарт-контракта, хотя Flow Foundation назвала основной причиной уязвимость уровня исполнения.

В течение нескольких часов злоумышленник выпустил около 5 миллионов FLOW и продал их, истощив пулы ликвидности по всей сети. Украденные активы затем были направлены через несколько кроссчейн-мостов — Celer, deBridge, Relay и Stargate — после чего были отмыты через Thorchain и Chainflip, что раздробило средства по нескольким сетям и сделало их возврат практически невозможным.

К тому времени, когда валидаторы выполнили скоординированную остановку сети, экосистему Flow покинуло около 3,9 миллиона долларов. Сеть перешла в режим «только для чтения», заморозив всю дальнейшую активность и сохранив ончейн-данные для криминалистического анализа.

Предложение об откате, вызвавшее бурю в индустрии

События следующих 48 часов оказались более значимыми, чем сам взлом.

Основные разработчики Flow предложили восстановить сеть до контрольной точки, предшествующей взлому — фактически откатив транзакции примерно за шесть часов. Каждая сделка, перевод и взаимодействие со смарт-контрактами в этом окне были бы аннулированы. Пользователям и поставщикам инфраструктуры пришлось бы повторно отправлять свои данные с нуля.

Логика казалась простой: устранить ущерб, исправить уязвимость, перезапустить систему «чистой». Но это предложение немедленно вызвало резкую реакцию во всей экосистеме.

Алекс Смирнов, соучредитель deBridge, сообщил изданию The Block, что он и другие партнеры по мостам были «застигнуты врасплох» этим планом, не получив предварительных уведомлений или координации от команды Flow. Он назвал откат «поспешным решением» и предупредил, что «финансовый ущерб от отката может превысить ущерб от самого взлома».

Габриэль Шапиро, юрисконсульт Delphi Labs, выступил с еще более жесткой критикой. «Они создают необеспеченные активы, чтобы прикрыть свои тылы, и ожидают, что мосты и эмитенты примут удар на себя или будут проводить собственные отдельные мероприятия по смягчению последствий», — написал он. Шапиро утверждал, что откат создаст парадокс: украденные средства злоумышленника уже были переведены в другие сети, поэтому изменение истории Flow не вернет ни цента. Вместо этого будут стерты легитимные транзакции через мосты, в результате чего операторы мостов останутся с токенами, которые больше не соответствуют ничему в реестре Flow.

Другими словами, откат наказал бы всех, кроме самого злоумышленника.

Валидаторов призвали прекратить работу над откатом. Реакция сообщества была быстрой и недвусмысленной. В течение двух дней после первоначального предложения Flow Foundation изменила курс.

«Реорганизации цепи не будет»

29 декабря Flow Foundation опубликовала пересмотренный план восстановления, разработанный в ходе прямых консультаций с операторами мостов, биржами и валидаторами. Объявление было однозначным: реорганизации цепи не будет. Все транзакции, отправленные до остановки сети, останутся в силе и не потребуют повторной отправки.

Вместо этого фонд реализовал то, что он назвал «планом изолированного восстановления». Вместо того чтобы перематывать всю цепь назад, они нацелились только на мошеннически выпущенные токены. Этот подход опирался на три столпа:

1. Патч и перезапуск. Валидаторы развернули Mainnet 28 — целевое обновление, устраняющее уязвимость уровня исполнения. Сеть перезапустилась с последнего запечатанного блока перед остановкой, сохранив всю легитимную историю транзакций.

2. Изоляция и уничтожение. Пострадавшие кошельки были заморожены, а поддельные токены систематически идентифицированы и помещены в карантин. 30 января 2026 года Совет по управлению сообществом (Community Governance Council) осуществил окончательное ончейн-уничтожение 87,4 миллиарда поддельных токенов FLOW — завершив техническое исправление ситуации.

3. Поэтапное восстановление EVM. Восстановление было разделено на этапы. Этап 1 нормализовал работу цепи Cadence (нативная среда смарт-контрактов Flow). Этап 2 восстановил совместимость с EVM для приложений на базе Ethereum. Мосты и биржи возобновили работу только после финальной проверки.

Точность этого подхода — хирургическое удаление мошеннических активов при сохранении легитимной активности — резко контрастировала с грубым методом полного отката. Однако это потребовало того, чего явно не хватало в первоначальном предложении: координации со всеми заинтересованными сторонами экосистемы.

Вердикт рынка

Рынки не стали ждать нюансированного решения. Цена токена FLOW обвалилась более чем на 50 % за один день, упав с примерно 0,17 $до нового исторического минимума в 0,079$ на Binance. Южнокорейские биржи — критически важный хаб ликвидности для FLOW — временно приостановили торговлю и переводы. Панические продажи были жестокими и беспорядочными.

Тем не менее, последствия рассказали более сложную историю. После того как биржи самостоятельно провели проверку и полностью восстановили сервисы FLOW, токен продемонстрировал 60-процентное ралли восстановления, а объем торгов вырос на 640 % до 175 млн $ за один 24-часовой период. К марту 2026 года Binance опубликовала совместное заявление о разрешении ситуации с Flow Foundation, и все крупные мировые биржи вернули FLOW статус обычного листинга.

V-образное восстановление показало, что рынок в конечном итоге вознаградил Flow за отказ от отката. Готовность сообщества отвергнуть простое решение и потребовать более принципиального подхода, возможно, спасла долгосрочное доверие к сети — даже если это стоило инвесторам недель неопределенности.

Тень форка DAO: почему откаты блокчейна остаются «неприкосновенной темой»

Дискуссия об откате Flow возникла не в вакууме. Она развернулась под длинной тенью самого значимого управленческого решения в истории блокчейна: форка Ethereum DAO 2016 года.

Когда хакер воспользовался уязвимостью рекурсивного вызова в смарт-контракте The DAO и вывел 3,6 млн ETH (около 50 млн $ на тот момент), сообщество Ethereum столкнулось с пугающе похожим выбором. 20 июля 2016 года, на блоке 192 000, Ethereum провел хардфорк, который фактически отменил взлом, вернув средства их первоначальным владельцам.

Это решение разделило сеть надвое. Ethereum (ETH) пошел по пути отката. Ethereum Classic (ETC) — рожденный теми, кто верил, что «код есть закон» (code is law), — сохранил оригинальную, неизмененную цепочку. Этот раскол стал определяющим философским моментом для индустрии, кристаллизовав напряженность между прагматизмом и неизменяемостью в двух конкурирующих блокчейнах.

Спустя почти десятилетие примечательно то, насколько основательно форк DAO создал прецедент. С тех пор ни один крупный блокчейн не пытался провести сопоставимый откат. Когда в начале 2025 года Bybit подверглась взлому на 1,4 млрд $, сообщество Ethereum немедленно пресекло любые разговоры о реорганизации цепи. Социальный консенсус закрепился: неизменяемость не подлежит обсуждению для зрелых сетей.

Попытка отката Flow — и быстрый отказ от нее — скорее укрепили эту норму, чем оспорили ее. Но это также выявило критический пробел: небольшие, менее децентрализованные сети все еще могут испытывать соблазн воспользоваться рычагом отката в случае взлома. Разница лишь в том, обладает ли экосистема достаточной зрелостью управления, чтобы дать отпор.

Что кризис Flow раскрывает об управлении блокчейном

Инцидент с Flow пролил свет на несколько неудобных истин о том, как блокчейны на самом деле функционируют в кризисных ситуациях:

Централизация проявляется под давлением. Первоначальное предложение Flow об откате вообще стало возможным только потому, что набор валидаторов сети относительно сконцентрирован. В сети с тысячами независимых валидаторов — такой как Ethereum — подобный скоординированный откат был бы технически и социально неосуществим. Сам факт того, что это обсуждалось, выявил разрыв между стремлением Flow к децентрализации и ее операционной реальностью.

Операторы мостов — это новая система сдержек и противовесов. Публичное противодействие со стороны deBridge и LayerZero было не просто критикой — это было вето. Кроссчейн-мосты стали настолько глубоко интегрированы в инфраструктуру блокчейна, что ни один L1-протокол не может в одностороннем порядке переписать свою историю без каскадных последствий для каждой подключенной цепи. Операторы мостов теперь выступают в качестве фактического ограничения управления при принятии решений L1.

Спешка убивает управление. 48-часовой таймлайн от взлома до предложения об откате и последующей отмены решения сообществом был невероятно сжат. Хорошее управление требует обсуждения, консультаций с заинтересованными сторонами и прозрачной коммуникации — ничего из этого не произошло до первоначального объявления об откате. Реакция «застигнутых врасплох» партнеров была таким же провалом управления, как и коммуникационным провалом.

Уничтожение токенов — жизнеспособная альтернатива. Изолированный план восстановления Flow — выявление, карантин и уничтожение 87,4 млрд поддельных токенов при сохранении легитимных транзакций — продемонстрировал, что точечное исправление возможно без «перемотки» цепи. Эта стратегия может оказаться более влиятельной, чем сам инцидент, предлагая будущим сетям шаблон, который уважает неизменяемость, одновременно решая проблему последствий взлома.

Спектр неизменяемости

Криптоиндустрия любит рассматривать неизменяемость как бинарное понятие: либо история блокчейна священна, либо нет. Кризис Flow показывает, что реальность более тонка.

На практике неизменяемость блокчейна существует в виде спектра. На одном конце находится Bitcoin, где даже обсуждение отката будет сочтено ересью. На другом конце находятся новые, меньшие сети, где горстка валидаторов теоретически могла бы отменить транзакции до того, как сообщество это заметит. Большинство блокчейнов находятся где-то посередине — и точное положение на этом спектре выявляется не техническими документами или маркетинговыми материалами, а тем, что происходит, когда в пятницу днем пропадают 3,9 млн $.

Путь Flow от предложения об откате до изолированного восстановления за 48 часов говорит о том, что иммунная система индустрии работает. Форк DAO выработал антитела. Десятилетие эволюции управления научило сообщества тому, что краткосрочная боль от последствий взлома почти всегда предпочтительнее долгосрочного ущерба от переписывания истории.

Но испытание повторится. Так происходит всегда. Вопрос в том, будет ли у следующей сети, столкнувшейся с этим, инфраструктура управления — и смирение — чтобы выслушать, прежде чем действовать.

---

BlockEden.xyz предоставляет блокчейн-API инфраструктуру корпоративного уровня с мониторингом в реальном времени и высокодоступным доступом к нодам в нескольких сетях. Для команд, создающих кроссчейн-приложения, которые зависят от надежных и неизменяемых данных, изучите наш маркетплейс API, чтобы строить на инфраструктуре, созданной для отказоустойчивости.