1月7日,Flow发布攻击事件回顾报告。攻击者利用网络漏洞伪造代币,并通过桥接窃取约390万美元。此次攻击未触及任何现有用户余额,绝大多数伪造资产已被链上存储或被合作交易所冻结。

攻击过程与根本原因
攻击者按顺序部署了40多个恶意智能合约,攻击链包含三个关键步骤:

  1. 绕过附件导入验证。
  2. 绕过内置类型的防御检查。
  3. 利用合约初始化器语义漏洞。

根本原因是Cadence运行时(v1.8.8)中的类型混淆漏洞。该漏洞允许攻击者将受保护的、本应不可复制的资产伪装成可复制的标准数据结构,从而绕过安全检查并伪造代币。该漏洞已在v1.8.9及更高版本中修复。

后续处理
网络验证者已批准治理行动,授权永久销毁所有伪造资产。Flow网络已于12月29日恢复运行,目前状态正常。
攻击者曾试图在多家中心化交易所存入伪造的FLOW代币,但因交易规模异常和内部风控措施,存款被冻结。约50%的伪造FLOW已被合作交易所(如OKX、Gate、MEXC)退回并销毁,基金会仍在与其他平台协调处理。


🔥 实时行情点位,群内抢先看!

进群蹲精准做单提示→青岚免费交易社群

以上仅为青岚姐个人观点,不作为投资建议,交易需谨慎|本文由青岚加密课堂整理优化