Puntos clave de la noticia:
- Flow enfrentó un exploit de $3.9M el 27 de diciembre; los validadores detuvieron la cadena y FindLabs dijo que no se tocaron saldos de usuarios y se solicitaron congelamientos.
- Se propuso un rollback a un checkpoint, pero Alex Smirnov (deBridge) dijo que socios fueron sorprendidos y advirtió casos límite en puentes que podrían duplicar balances.
- Tras la caída de FLOW de más de 40% y el TVL pasando de $107M a $73.8M y luego $97.2M, Flow descartó el rollback por una quema de tokens y un reinicio por fases.
El plan de Flow para deshacer un exploit de $3.9 millones puso a la gobernanza, no al código, en el centro de su respuesta. El 27 de diciembre, un atacante explotó una vulnerabilidad en la capa de ejecución de Flow y movió cerca de $3.9 millones a través de múltiples puentes cross-chain antes de que los validadores detuvieran la cadena. Flow Foundation y el socio forense FindLabs dijeron que no se accedió a saldos existentes de usuarios y que se mapearon rutas de salida, con solicitudes de congelamiento enviadas a exchanges principales y emisores de stablecoins. Los investigadores también identificaron la wallet del atacante en Ethereum. La inmutabilidad pasó a ser negociable bajo presión, reabriendo un debate que los socios creían cerrado.
FLOW NETWORK INCIDENT: Forensic Fund Tracking Report
FindLabs is publishing the following analysis in collaboration with the
Flow Foundation's security and engineering teams, who conducted the
primary forensic investigation.• INCIDENT CONFIRMATION
On December 27, 2025, an…
— Find Labs (@findlabs) December 27, 2025
El backlash de socios fuerza un giro
En cuestión de horas, desarrolladores propusieron un rollback a un checkpoint previo al exploit, borrando transacciones en una ventana de varias horas y obligando a usuarios y proveedores de infraestructura a re-enviar actividad. La Fundación lo planteó como neutralizar minting no autorizado, pero socios clave del ecosistema dijeron que fueron sorprendidos, alegando que no se les consultó. Alex Smirnov, fundador de deBridge, dijo que se enteró de la decisión solo después de que se anunció públicamente. Advirtió sobre balances duplicados para quienes bridged out y pérdidas para quienes bridged in, y pidió que los validadores pausaran hasta que custodios como LayerZero pudieran gestionar transferencias de USDC afectadas.
La incertidumbre operativa se trasladó a la óptica del mercado. Flowscan mostró a la red detenida en una altura de bloque fija durante un periodo prolongado, mientras la Fundación decía que el reinicio se esperaba en cuestión de horas. Tras el exploit y el anuncio del rollback, el token FLOW cayó más de 40%, y algunos exchanges centralizados suspendieron temporalmente transacciones. Datos de DefiLlama mostraron que el TVL bajó de $107 millones a $73.8 millones antes de rebotar a alrededor de $97.2 millones, una recuperación de 31% en 24 horas. Gabriel Shapiro, counsel de Delphi Labs, advirtió que los rollbacks podrían trasladar pérdidas a puentes y emisores al crear activos sin respaldo.
I woke up to the news about Flow’s decision to roll back the chain.
Despite Flow stating that they are “in a mandatory synchronization window with critical ecosystem partners (bridges, CEXs, DEXs)”, I can confirm that 𝐝𝐞𝐁𝐫𝐢𝐝𝐠𝐞 — 𝐨𝐧𝐞 𝐨𝐟 𝐭𝐡𝐞 𝐦𝐚𝐣𝐨𝐫 𝐛𝐫𝐢𝐝𝐠𝐞… https://t.co/oVTPbKDMcl
— deAlex (@AlexSmirnov) December 28, 2025
Ante la presión, la Fundación cambió el enfoque el 29 de diciembre con un plan de remediación desarrollado con operadores de puentes, exchanges y validadores. Abandonó un rollback global y se concentró en aislar y destruir tokens acuñados de forma fraudulenta preservando la actividad legítima. Dapper Labs dijo que revisó y respaldó el enfoque revisado, subrayando que no se afectaron saldos de usuarios ni activos de tesorería y que sus plataformas volverían a operar a medida que se reanudaran operaciones. En el reinicio por fases, cuentas señaladas por forénsica fueron restringidas, los validadores aprobaron la actualización de software y la red regresó en modo solo lectura, con 99.9% de las cuentas sin afectación.
