Flow 于 2026 年 1 月 6 日发布了一份dent 报告,讨论了其 390 万美元漏洞利用的根本原因。.
攻击者利用Cadence 运行时类型混淆漏洞伪造了令牌。Flow 表示,没有现有用户余额被访问或泄露。
流程dent出类型混淆漏洞是利用的根本原因
Flow 发现类型混淆漏洞是此次攻击的主要原因。该漏洞使攻击者能够将受保护的资产伪装成常规数据结构,从而绕过运行时安全检查。攻击者协调执行了约 40 个恶意智能trac。.
攻击始于2025年12月26日太平洋标准时间23:25,区块高度为137,363,398。首次部署后几分钟,伪造代币的生产就开始了。攻击者利用可复制的标准数据结构来伪装原本不可复制的受保护资产。通过利用Cadence的“仅移动”语义,这使得代币伪造成为可能。.
Cadence 和一个功能完全等效于 EVM 的环境是 Flow 运行的两个集成编程环境。在本例中,攻击目标是 Cadence。.
网络在首次恶意交易发生后六小时内瘫痪
12月27日,区块高度为137,390,190时,流程验证者于太平洋标准时间05:23开始协调网络暂停。所有逃生路径都被切断,此次暂停发生在最初的恶意交易发生不到6个小时之后。.
伪造的FLOW已被转移至集中式交易所的存款账户。由于其规模庞大且不规则,大部分发送到交易所的大额FLOW转账在收到后即被冻结。从太平洋标准时间12月27日00:06开始,部分资产通过Celer、deBridge和Stargate等工具进行网外桥接。
太平洋标准时间凌晨 1:30,首次检测到异常信号。此时,交易所存款与跨虚拟货币对的异常 FLOW 流动存在关联。随着伪造 FLOW 从太平洋标准时间凌晨 1:00 开始被清算,中心化交易所面临巨大的抛售压力。.
交易所退回4.84亿枚假冒FLOW代币
据Flow,攻击者在多个中心化交易所存入了10.94亿枚伪造的FLOW代币。交易所合作伙伴Gate.io、MEXC和OKX已返还484,434,923枚FLOW代币,这些代币已被销毁。剩余伪造代币的98.7%已在链上隔离,并正在销毁过程中。预计30天内将完成全部处理,目前仍在与其他交易所合作伙伴进行协调。
在社区评估了包括检查站恢复在内,最终选定了恢复策略。Flow 与基础设施合作伙伴、桥梁运营商和交易所进行了全生态系统范围的磋商。
Flow 遭受的 390 万美元攻击事件与 2025 年 12 月下旬至 2026 年 1 月初影响加密协议的一系列类似安全dent有关。BtcTurk 于 2026 年 1 月 1 日遭遇 4800 万美元的热钱包泄露事件。黑客入侵了这家中心化交易所的热钱包基础设施,并将资金转移到 Ethereum、Arbitrum、Polygon 和其他区块链上。.
1月1日,Binance 安发生了dent 涉及BROCCOLI代币的做市商账户操纵事件。.
