2026 年 1 月 6 日,Flow 發布了一份事後報告,討論了其 390 萬美元漏洞的根本原因。
攻擊者利用Cadence 運行時混淆漏洞偽造令牌。 Flow 表示,沒有現有用戶餘額被竊或洩漏。
Flow 識別出類型混淆漏洞是這次攻擊的根本原因。
Flow 發現根本原因是類型混淆漏洞。該漏洞允許攻擊者將受保護的資產偽裝成普通資料結構,從而繞過運行時安全檢查。攻擊者利用該漏洞協調執行了大約 40 個惡意智能合約。
攻擊始於太平洋標準時間 2025 年 12 月 26 日晚上 11:25,區塊高度為 137,363,398。首次部署後幾分鐘,偽造代幣的生產就開始了。攻擊者利用標準的可複製資料結構來掩蓋原本不可複製的受保護資產。透過利用 Cadence 的僅移動語義,這使得代幣偽造成可能。
Flow 支援兩種整合式程式設計環境:Cadence 和完全等效於 EVM 的環境。在本例中,漏洞利用的目標是 Cadence。
網路在首次惡意交易發生後六小時內癱瘓
12月27日,在區塊高度137,390,190,流程驗證者於太平洋標準時間凌晨5點23分發起了一次協調的網路中斷。所有逃生路徑都被切斷,這次中斷發生在最初的惡意交易發生不到6小時之後。
太平洋標準時間12月26日晚上11:42,偽造的FLOW被轉移到交易所的中心化持有帳戶。由於其規模龐大且來源不明,大多數發送到交易所的大額FLOW轉帳在收到後立即被凍結。從太平洋標準時間12月27日凌晨12:06開始,部分資產透過Celer、deBridge和Stargate等工具轉移出網路。
太平洋標準時間凌晨1點30分,首次偵測到異常訊號。此時,交易所的儲值與虛擬貨幣對(VM)之間異常的FLOW交易活動存在關聯。隨著太平洋標準時間凌晨1點開始清算偽造的FLOW,中心化交易所面臨巨大的拋售壓力。
交易所退4.84億枚假冒FLOW代幣
據Flow稱,攻擊者在多個中心化交易所存入了10.94億枚偽造的FLOW代幣。交易所合作夥伴Gate.io、MEXC和OKX已返還了484,434,923枚FLOW代幣,這些代幣已被銷毀。剩餘偽造代幣的98.7%已在鏈上隔離並正在銷毀。預計該問題將在30天內徹底解決,目前正與其他交易所合作夥伴進行協調。
在社區評估了包括恢復檢查站在內的幾種恢復方案後,最終選定了一項恢復策略。 Flow 與基礎設施合作夥伴、橋樑營運商和交換中心進行了全生態系統範圍的磋商。
Flow 遭受的 390 萬美元攻擊事件發生在 2025 年 12 月下旬至 2026 年 1 月初一系列影響加密協定的安全事件之中。 2026 年 1 月 1 日,BtcTurk 的熱錢包遭到入侵,損失高達 4,800 萬美元。駭客入侵了這家中心化交易所的熱錢包基礎設施,並將資金轉移到以太坊、Arbitrum、Polygon 和其他區塊鏈上。
1月1日,幣安發生了一起涉及BROCCOLI代幣的做市商帳戶操縱事件。
加密貨幣領域最傑出的精英們已經在閱讀我們的簡報了。想加入他們嗎?