2025年12月27日,Flow网络遭遇一起针对Cadence虚拟机类型混淆漏洞的复杂攻击,导致代币被非法增发。
攻击原理
攻击者利用一个由三部分漏洞构成的漏洞链,绕过了Cadence的资源线性保证机制,成功将资源对象伪装成可复制的结构体。
事件影响
- 非法增发了约879.6亿枚FLOW及多种其他代币。
- 其中10.94亿枚FLOW被转入中心化交易所。
- 造成约390万美元的实际经济损失,资金通过Celer、deBridge等跨链桥转移。
应对与修复
- 验证者及时停机,并与OKX、Gate.io、MEXC等交易所合作。
- 约98.7%的非法资产被冻结在链上或交易所,并已销毁约4.84亿枚FLOW。
- 网络于12月29日通过“隔离恢复计划”恢复正常。
- 目前已部署全面补丁,涵盖参数校验、运行时检查及合约部署逻辑。
