Flow区块链攻击事件分析
一份关于12月27日Flow区块链被攻击的事后分析报告详细描述了一个协议级漏洞,该漏洞使攻击者能够复制可替代代币,并窃取约390万美元的价值。Flow基金会发布的报告指出:
“此次攻击展示了显著的技术复杂性。攻击者以协调的方式部署了超过40个恶意智能合约。”
攻击者成功利用了Cadence执行层(v1.8.8)中的一个重大缺陷,该缺陷允许攻击者将应为不可复制的受保护资产伪装成可以复制的标准数据结构。简单来说,攻击者能够复制代币而不是铸造代币,这也是为什么现有用户余额没有受到直接影响的原因。
网络响应与资金冻结
然而,Flow验证者在首次恶意交易发生后六小时内成功启动了网络暂停,已经发送到中心化交易所的资金也被交易所合作伙伴冻结。报告补充道:
“攻击者在多个中心化交易所存入了10.94亿个伪造的FLOW代币。其中,合作交易所OKX、Gate.io和MEXC已经归还并销毁了484,434,923个FLOW。”
与此同时,Flow已采取措施隔离98.7%的剩余伪造供应,这些代币目前待销毁。基金会继续与其他交易所合作伙伴合作,以追回剩余资产,并通过限制所有与攻击者相关的存款地址在执行层实施了协议级的保护措施。这一措施确保伪造代币在被归还销毁之前,无法被提取、桥接或转移。
漏洞修复与网络恢复
根据基金会的说法,该漏洞已被修复,Flow网络已全面恢复运营。开发者选择了“隔离恢复”计划,而不是最初寻求的全链回滚。正如crypto.news之前报道的那样,这样做是为了保留合法的交易历史,并通过治理批准的流程销毁伪造资产。
自恢复计划完成后,Flow区块链的原生代币FLOW已经成功反弹。在12月27日黑客攻击后,FLOW在五小时内暴跌约40%,并在1月2日跌至0.075美元的低点,随后随着网络恢复而开始反弹。在过去24小时内,该代币上涨超过14%,在撰写时交易价格为0.1015美元。
