Flow 將 390 萬美元攻擊歸咎於 Cadence 運行時類型混淆漏洞

Flow 於 2026 年 1 月 6 日發布了事後報告,討論了其 390 萬美元漏洞攻擊的根本原因。

攻擊者利用 Cadence 執行時類型混淆漏洞來偽造代幣。Flow 表示沒有存取或損害任何現有用戶餘額。

Flow 確認類型混淆漏洞為攻擊根本原因

Flow 發現類型混淆漏洞是主要原因。該漏洞使攻擊者能夠通過將受保護資產偽裝成常規資料結構來規避執行時安全檢查。攻擊者協調執行了約 40 個惡意智能合約。

攻擊始於 2025 年 12 月 26 日 23:25 PST(UTC +8 時間為 12 月 27 日 15:25)的區塊高度 137,363,398。首次部署後幾分鐘,偽造代幣的生產即開始。攻擊者使用可複製的標準資料結構來偽裝本應不可複製的受保護資產。通過利用 Cadence 的僅移動語義,使代幣偽造成為可能。

Cadence 和完全 EVM 等效環境是 Flow 運行的兩個整合程式環境。在本次事件中,攻擊針對的是 Cadence。

首次惡意交易後六小時內網路停機

12 月 27 日,在區塊高度 137,390,190,Flow 驗證者於 05:23 PST(UTC +8 時間為 21:23)開始協調暫停網路。所有逃逸路徑被切斷,停機發生在首次惡意交易後不到六小時。

12 月 26 日 23:42 PST(UTC +8 時間為 12 月 27 日 15:42),偽造的 FLOW 正被轉移至中心化交易所充值帳戶。由於規模和異常性,大多數發送到交易所的大額 FLOW 轉帳在收到時即被凍結。從 12 月 27 日 00:06 PST(UTC +8 時間為 16:06)開始,一些資產通過 Celer、deBridge 和 Stargate 橋接到鏈外。

01:30 PST(UTC +8 時間為 17:30),首次偵測信號被觸發。此時,交易所充值與異常的跨 VM FLOW 移動相關聯。從 1:00 PST(UTC +8 時間為 17:00)開始,隨著偽造 FLOW 被清算,中心化交易所面臨巨大的賣壓。

交易所退還 4.84 億枚偽造 FLOW 代幣

根據 Flow 表示,攻擊者在多個中心化交易所充值了 10.94 億枚假 FLOW。交易所合作夥伴 Gate.io、MEXC 和 OKX 退還了 484,434,923 枚 FLOW,這些代幣已被銷毀。剩餘偽造品供應的 98.7% 已在鏈上被隔離,並正在銷毀中。預計將在 30 天內完全解決,與其他交易所合作夥伴的協調仍在進行中。

在社群評估了包括檢查點恢復在內的多個恢復方案後,選定了恢復策略。Flow 與基礎設施合作夥伴、橋接營運商和交易所舉行了全生態系統諮詢。

Flow 的 390 萬美元漏洞攻擊發生在 2025 年 12 月底至 2026 年 1 月初影響加密協議的類似安全事件模式中。BtcTurk 於 2026 年 1 月 1 日遭受了 4,800 萬美元的熱錢包入侵。駭客攻破了該中心化交易所的熱錢包基礎設施,並在 Ethereum、Arbitrum、Polygon 和其他鏈上竊取資金。

Binance 於 1 月 1 日經歷了涉及 BROCCOLI 代幣的做市商帳戶操縱事件。

想讓您的專案展現在加密領域頂尖人士面前嗎?在我們下一份行業報告中展示它,讓數據發揮影響力。