Une attaque de hackers a coupé Flow en deux, le plan de rollback déclenche une guerre civile au sein de l'écosystème

null

Auteur | Asher（@Asher_ 0210）

Samedi dernier après-midi, une attaque de hackers soudaine a plongé le réseau Flow dans le chaos. Ce réseau Layer 1, conçu par l’équipe Dapper Labs pour la prochaine génération d’applications, jeux et actifs numériques, a été victime d’une vulnérabilité au niveau de l’exécution, permettant le transfert de 3,9 millions de dollars d’actifs hors chaîne. Après l’attaque, le jeton FLOW a été brièvement réduit de moitié, passant de 0,173 USD à 0,079 USD, avant de rebondir légèrement à environ 0,107 USD.

Graphique K de FLOW

Ci-dessous, Odaily Planet Daily vous résume l’incident de vol de Flow, la réponse officielle et pourquoi cela a suscité de vives critiques de la part des partenaires et de la communauté Flow.

Réponse d’urgence officielle de Flow : isolement du réseau et annonce du plan de rollback

Après l’attaque, la fondation Flow a rapidement réagi en confirmant les détails de l’incident. L’attaquant a exploité une vulnérabilité au niveau de l’exécution pour transférer environ 3,9 millions de dollars d’actifs. L’incident n’a pas affecté les soldes existants des utilisateurs, qui restent sécurisés. Les adresses d’attaque ont été marquées, et la traque des voies de blanchiment est en cours. La fondation a soumis des demandes de gel d’actifs à Circle, Tether et plusieurs grandes bourses.

Pour nettoyer les transactions illégales sur la chaîne et réparer la vulnérabilité, la fondation Flow a isolé le réseau et publié une version corrigée du mainnet, Mainnet 28. La solution initiale proposée par la fondation est de revenir à un point de contrôle avant l’attaque, c’est-à-dire au bloc Cadence 137363395, supprimant ainsi toutes les transactions effectuées dans les 6 dernières heures. Qu’elles soient légales ou non, toutes seront effacées, et les utilisateurs devront resoumettre leurs transactions après le redémarrage des nœuds. La fondation considère cette solution comme la voie la plus sûre pour restaurer l’intégrité du réseau, en insistant sur le fait que les fonds des utilisateurs ne seront pas affectés durant tout le processus, tout en promettant une mise à jour toutes les deux heures sur l’évolution de l’incident.

Cette décision de rollback, apparemment décisive, a rapidement déclenché une crise dans l’écosystème — car les fonds des hackers avaient déjà été bridgés hors chaîne, le rollback n’ayant aucun impact sur eux, mais ne touchant que les utilisateurs honnêtes et partenaires.

Partenaires de ponts cross-chain et utilisateurs communautaires s’opposent violemment, le plan de rollback est critiqué

Après l’annonce du plan de rollback, les partenaires de ponts cross-chain et les utilisateurs de la communauté Flow ont rapidement exprimé leur opposition collective. Alex Smirnov, co-fondateur de deBridge, principal partenaire de ponts cross-chain de Flow, a critiqué publiquement cette décision sur X, la qualifiant de précipitée, sans consultation préalable avec les partenaires clés. En tant que canal principal pour les actifs dans l’écosystème Flow, deBridge n’a pas été informé à l’avance du rollback.

Smirnov a souligné que les dommages potentiels du rollback pourraient dépasser ceux de l’attaque initiale. Étant donné que des actifs cross-chain circulent déjà entre plusieurs systèmes, un rollback forcé pourrait entraîner des doublons d’actifs, des incohérences dans l’état de garde, et causer des pertes pour les ponts, utilisateurs et contreparties opérant dans la fenêtre de temps. Il a révélé qu’environ 200 000 USD et 50 000 USD de dépôts sur deBridge se trouvaient dans la fenêtre de rollback, et que leur suppression pourrait faire disparaître des fonds d’un côté ou provoquer une duplication extrême des actifs.

Face à ces risques, Smirnov appelle les validateurs de Flow à suspendre la production de blocs et la validation jusqu’à ce qu’un plan de compensation, une coordination avec les partenaires et une intervention d’une équipe de sécurité indépendante soient clairement établis. Ce type de problème n’est pas isolé. En tant que principal dépositaire cross-chain de USDC sur le réseau Flow, LayerZero fait également face à un risque de transactions cross-chain d’environ 220 000 USD et 180 000 USD dans la fenêtre de rollback.

Outre les partenaires de ponts cross-chain dans l’écosystème Flow, des utilisateurs sur X ont commencé à exprimer leurs inquiétudes quant à la sécurité des fonds, tandis que des développeurs remettent en question la fiabilité et la gouvernance du réseau en cas de situation extrême. L’humeur des investisseurs devient prudente, la pression de vente s’accroît. De nombreux voix dénoncent que le rollback expose la réalité d’un contrôle centralisé sur la chaîne, transformant rapidement une simple erreur technique en crise de confiance.

Certaines opinions communautaires pointent davantage vers les principes fondamentaux de la blockchain. Certains estiment que le rollback remet en cause la finalité et l’immuabilité des transactions, faisant de Flow une chaîne de consortium susceptible à une intervention administrative en cas de crise. D’autres, en comparant avec des incidents de sécurité sur d’autres blockchains, soulignent que ces situations sont généralement traitées par la mise en quarantaine des adresses attaquantes ou le gel des flux de fonds, plutôt que par un rollback global de l’état du réseau.

Le KOL crypto Wazz (@WazzCrypto) a déclaré sur X que la décision de rollback de Flow était l’une des pires qu’il ait vues. Selon lui, les hackers ont déjà transféré environ 4 millions de dollars hors chaîne, et le rollback n’aurait pratiquement aucun effet réel, les véritables victimes étant les utilisateurs innocents utilisant le réseau via des ponts cross-chain.

Changement de posture officiel de Flow : abandonner le rollback, adopter une solution d’isolement et de récupération

Face à l’opposition massive des partenaires et de la communauté, la fondation Flow a finalement décidé d’abandonner le rollback et de passer à un « plan de récupération par isolement ». Ce plan, élaboré en consultation directe avec les partenaires de ponts, bourses et infrastructures, comprend notamment :

Pas de rollback/réorganisation, conservation de toutes les activités légitimes des utilisateurs ;

Pas besoin que les partenaires rejouent leurs transactions ;

Plus de 99,9 % des comptes ne seront pas affectés, la reprise se fera simplement par un redémarrage ;

Lors du redémarrage, limitation temporaire de la réception de tokens illégaux ;

De plus, le réseau sera restauré par étapes :

Première étape, déploiement de l’environnement Cadence, EVM temporairement limité ;

Deuxième étape, correction de Cadence (environ 24 à 48 heures) ;

Troisième étape, correction et redémarrage de l’EVM ;

Quatrième étape, rétablissement de la communication avec les ponts cross-chain et bourses, la date précise sera décidée par l’opérationnel une fois la stabilité confirmée.

De plus, l’équipe derrière Flow, Dapper Labs, a exprimé son soutien à cette solution sur X, déclarant « conserver les activités légitimes, offrir une voie de récupération claire ».

Cette attitude de « renoncement au rollback » a permis d’apaiser temporairement la tension dans l’écosystème et d’éviter la propagation de risques systémiques liés à un rollback. À ce jour, le réseau reste en cours de coordination et de restauration par étapes, la sécurité des fonds des utilisateurs étant maintenue.

Dans un environnement de marché crypto hautement incertain, cette crise pourrait devenir un tournant majeur dans le développement de Flow, dont l’impact à long terme reste à voir avec le temps.