Flow đã công bố báo cáo hậu sự cố ngày 6/1/2026, xác định lỗ hổng “type confusion” trong Cadence runtime là nguyên nhân gốc khiến kẻ tấn công đúc token giả, dẫn tới vụ khai thác trị giá 3,9 triệu USD.
Sự cố cho thấy rủi ro từ lỗi kiểm tra an toàn ở tầng runtime của ngôn ngữ smart contract. Dù Flow khẳng định không có số dư người dùng hiện hữu bị truy cập hay xâm phạm, việc token giả lọt ra sàn giao dịch đã tạo áp lực bán và buộc mạng phải tạm dừng khẩn cấp.
- Flow xác định lỗ hổng “type confusion” trong Cadence runtime cho phép ngụy trang tài sản được bảo vệ thành cấu trúc dữ liệu thường để đúc token giả.
- Validators đã phối hợp tạm dừng mạng trong vòng chưa đầy 6 giờ kể từ giao dịch độc hại đầu tiên; phần lớn chuyển khoản lớn lên sàn bị đóng băng.
- Kẻ tấn công gửi 1,094 tỷ FLOW giả lên nhiều sàn; Gate.io, MEXC và OKX đã trả lại 484.434.923 FLOW để tiêu hủy, phần còn lại chủ yếu đã bị cô lập on-chain.
Lỗ hổng “type confusion” trong Cadence runtime là nguyên nhân gốc của vụ tấn công
Flow cho biết lỗi “type confusion” giúp kẻ tấn công né các kiểm tra an toàn runtime bằng cách ngụy trang tài sản được bảo vệ thành dữ liệu thông thường, từ đó tạo điều kiện đúc token giả.
Theo phân tích của Flow, lỗ hổng cho phép “đánh tráo” kiểu dữ liệu khi chạy, khiến hệ thống coi một protected asset như một cấu trúc dữ liệu chuẩn có thể sao chép. Điều này đặc biệt nguy hiểm vì protected asset theo thiết kế phải “không thể copy”.
Kẻ tấn công được cho là đã điều phối khoảng 40 smart contract độc hại để triển khai chuỗi hành động, giúp việc đúc token giả diễn ra có tổ chức thay vì là một giao dịch đơn lẻ.
Flow vận hành hai môi trường lập trình tích hợp: Cadence và một môi trường “tương đương EVM hoàn toàn”. Trong sự cố này, mục tiêu bị khai thác là Cadence, không phải môi trường tương đương EVM.
Cuộc tấn công bắt đầu từ block 137.363.398 và nhanh chóng tạo ra token giả
Cuộc tấn công khởi phát tại block 137.363.398 vào 14:25 ngày 27/12/2025 (giờ Việt Nam), và chỉ vài phút sau khi triển khai lần đầu, việc tạo token giả đã bắt đầu.
Mốc thời gian ban đầu được ghi nhận là 23:25 PST ngày 26/12/2025, tương ứng 14:25 GMT+7 ngày 27/12/2025. Chỉ vài phút sau lần triển khai độc hại đầu tiên, token giả bắt đầu được “sản xuất”.
Thủ thuật chính là dùng các cấu trúc dữ liệu tiêu chuẩn có thể sao chép để ngụy trang protected assets vốn phải “không thể copy”. Flow cho biết việc kết hợp kỹ thuật này với “move-only semantics” của Cadence đã khiến hành vi làm giả token trở nên khả thi.
Mạng Flow bị tạm dừng trong chưa đầy 6 giờ để cắt đường thoát
Validators của Flow đã phối hợp tạm dừng mạng tại block 137.390.190 lúc 20:23 ngày 27/12/2025 (giờ Việt Nam), cắt các đường thoát và hạn chế lan rộng thiệt hại.
Flow cho biết đến block 137.390.190 ngày 27/12/2025 lúc 05:23 PST (20:23 GMT+7), mạng được “pause” có phối hợp. Việc dừng mạng diễn ra trong vòng chưa đầy 6 giờ kể từ giao dịch độc hại đầu tiên, nhằm “khóa” các ngả rút ra.
Token FLOW giả đã bắt đầu được chuyển vào tài khoản nạp tiền của các sàn giao dịch tập trung từ 23:42 PST ngày 26/12 (14:42 GMT+7 ngày 27/12). Do kích thước lớn và bất thường, phần lớn các chuyển khoản FLOW lớn gửi lên sàn đã bị đóng băng ngay khi nhận.
Token giả bị bridge ra ngoài bằng Celer, deBridge và Stargate trước khi bị phát hiện hoàn toàn
Từ 19:06 ngày 27/12/2025 (giờ Việt Nam), một phần tài sản đã được bridge ra ngoài mạng qua Celer, deBridge và Stargate, trong khi tín hiệu cảnh báo đầu tiên xuất hiện lúc 20:30.
Flow nêu rằng từ 00:06 PST ngày 27/12 (19:06 GMT+7), một số tài sản đã được chuyển off-network thông qua Celer, deBridge và Stargate. Điều này cho thấy kẻ tấn công cố phân tán rủi ro và dịch chuyển giá trị sang môi trường khác.
Lúc 01:30 PST (20:30 GMT+7), các tín hiệu phát hiện đầu tiên được kích hoạt. Ở giai đoạn này, các khoản nạp sàn được đối chiếu với các chuyển động FLOW bất thường “cross-VM”, giúp khoanh vùng hành vi giả mạo.
Khi FLOW giả bắt đầu bị thanh lý từ 01:00 PST (20:00 GMT+7), các sàn giao dịch tập trung phải đối mặt với áp lực bán đáng kể, phản ánh rủi ro tức thời tới thị trường khi token giả lọt vào kênh thanh khoản.
Các sàn hoàn trả 484.434.923 FLOW giả để tiêu hủy, phần còn lại chủ yếu đã bị cô lập on-chain
Kẻ tấn công đã gửi 1,094 tỷ FLOW giả lên nhiều sàn; Gate.io, MEXC và OKX hoàn trả 484.434.923 FLOW để tiêu hủy, và 98,7% lượng còn lại đã bị cô lập on-chain để xử lý tiếp.
Theo thông tin Flow công bố tại bài phân tích kỹ thuật của Flow, kẻ tấn công đã nạp tổng cộng 1,094 tỷ FLOW giả lên một số sàn giao dịch tập trung. Các đối tác sàn Gate.io, MEXC và OKX đã trả lại 484.434.923 FLOW, sau đó lượng này đã được tiêu hủy.
Flow cho biết 98,7% nguồn cung token giả còn lại đã được cô lập trên chuỗi và đang trong quá trình tiêu hủy. Kế hoạch xử lý hoàn tất được kỳ vọng trong 30 ngày, đồng thời dự án vẫn tiếp tục phối hợp với các đối tác sàn khác.
Flow chọn chiến lược khôi phục sau tham vấn hệ sinh thái
Flow lựa chọn chiến lược khôi phục sau khi cộng đồng đánh giá nhiều phương án, bao gồm khôi phục theo checkpoint, và tiến hành tham vấn rộng với các bên hạ tầng, bridge và sàn giao dịch.
Sau sự cố, cộng đồng đã xem xét nhiều lựa chọn khôi phục, trong đó có phương án phục hồi checkpoint. Flow cho biết quyết định cuối cùng được đưa ra dựa trên quá trình đánh giá và mức độ khả thi trong vận hành.
Dự án cũng tổ chức tham vấn trên toàn hệ sinh thái với các đối tác hạ tầng, nhà vận hành bridge và sàn giao dịch để thống nhất cách cô lập, thu hồi, tiêu hủy token giả và khôi phục hoạt động mạng theo trình tự an toàn.
Chuỗi sự cố cuối 2025 đầu 2026 cho thấy rủi ro vận hành và bảo mật vẫn gia tăng
Vụ khai thác 3,9 triệu USD của Flow diễn ra trong bối cảnh nhiều sự cố bảo mật crypto cuối tháng 12/2025 và đầu 01/2026, bao gồm vi phạm ví nóng 48 triệu USD của BtcTurk và sự cố thao túng tài khoản market maker tại Binance liên quan token BROCCOLI.
Flow nhận định sự kiện này mang “mẫu hình tương tự” với các sự cố bảo mật khác trong giai đoạn cuối 12/2025 và đầu 01/2026. Ngày 01/01/2026, BtcTurk ghi nhận vụ xâm nhập ví nóng trị giá 48 triệu USD, kẻ tấn công rút tiền qua Ethereum, Arbitrum, Polygon và các chain khác.
Cũng trong ngày 01/01/2026, Binance gặp sự cố thao túng tài khoản market maker liên quan token BROCCOLI. Các sự kiện này nhấn mạnh nhu cầu giám sát rủi ro theo thời gian thực, kiểm soát luồng thanh khoản lên sàn, và cơ chế phản ứng khẩn cấp ở cả cấp độ giao thức lẫn sàn giao dịch.
Những câu hỏi thường gặp
Flow bị tấn công do nguyên nhân gì?
Flow kết luận nguyên nhân gốc là lỗ hổng “type confusion” trong Cadence runtime, cho phép kẻ tấn công né kiểm tra an toàn và ngụy trang protected asset thành dữ liệu thông thường để đúc token giả.
Người dùng Flow có bị mất số dư không?
Flow cho biết không có số dư người dùng hiện hữu nào bị truy cập hoặc bị xâm phạm trong sự cố. Tác động chính đến từ việc token FLOW giả được tạo ra và cố gắng đưa lên các sàn giao dịch.
Flow đã dừng mạng trong bao lâu sau khi phát hiện giao dịch độc hại?
Validators của Flow đã phối hợp tạm dừng mạng trong vòng chưa đầy 6 giờ kể từ giao dịch độc hại ban đầu, nhằm cắt các đường thoát và hạn chế việc dịch chuyển tài sản liên quan.
Có bao nhiêu FLOW giả đã được nạp lên sàn và bao nhiêu đã được thu hồi?
Flow cho biết kẻ tấn công đã nạp 1,094 tỷ FLOW giả lên nhiều sàn. Gate.io, MEXC và OKX đã hoàn trả 484.434.923 FLOW để tiêu hủy, và 98,7% lượng còn lại đã bị cô lập on-chain để xử lý tiếp.