Flow 回顾安全事件,根本原因是 Cadence 运行中的类型混淆漏洞
Foresight News 消息,Folw 发布攻击事件回顾报告,称攻击者利用 Flow 网络漏洞伪造代币,通过桥接窃取了约 390 万美元。此次攻击未访问或泄露任何现有用户余额。攻击复制了资产,但并未触及合法持有的资产,绝大多数伪造资产在被清算前已被链上存储或被交易所合作伙伴冻结。网络验证者已批准一项去中心化治理行动,授权永久销毁所有伪造资产。网络于 12 月 29 日恢复运行,目前运行正常,所有交易历史记录均已保存。攻击者按顺序部署了 40 多个恶意智能合约,利用了三段式攻击链:1)绕过附件导入验证;2)绕过内置类型的防御检查;3)利用合约初始化器语义漏洞。根本原因是 Cadence 运行时(v1.8.8)中的类型混淆漏洞,该漏洞现已修复(v1.8.9 及更高版本)。该漏洞允许攻击者将受保护的资产(本应不可复制)伪装成标准数据结构(可复制),从而绕过运行时的安全检查并实现代币伪造。除了将资产移出 Flow 外,攻击者还试图在多个中心化交易所存入伪造的 FLOW,但因异常交易规模和内部反洗钱协议,多家交易所在收到后冻结了该存款。约 50% 的伪造 FLOW 存款已被合作的交易所(如 OKX、Gate、MEXC)退回并销毁,基金会仍在积极与其他交易所协调。Folw 网络于 2025 年 12 月 29 日通过孤立恢复计划得以恢复。基金会正在与包括 zeroShadow 和 Find Labs 在内的区块链取证合作伙伴及相关执法当局合作,以支持持续调查。