Flow基金会周二发布了一份技术事故复盘,详细披露了去年12月27日发生的协议层攻击,黑客利用该漏洞在网络上伪造代币,已确认损失约390万美元,事件被控制前已造成上述损失。
根据该报告,攻击者利用了Flow的Cadence运行时中的一个漏洞,使部分资产可以被复制,而非正常铸造,从而绕过了供应管控,无需访问或窃取现有用户余额。验证者在首批恶意交易发生后六小时内协同进行了网络暂停,各交易所合作伙伴在伪造资产出售前冻结了大部分假币。
Flow表示,临时停摆将网络切换至只读模式,以切断出金通道,同时阻止更多资产复制并展开调查。两天后,网络根据“隔离回暖”方案重启,既保留了合法交易历史,同时经治理批准,完成了伪造资产的追溯与永久销毁。
支持Flow网络的Flow基金会表示,事件未导致任何现有用户余额被盗,因漏洞导致的是资产伪造而非账户资金被移除。部分涉及伪造代币的账户作为预防措施被临时限制,超99%的账户在回暖期间及其后保持完全访问权。
虽然攻击者在链上生成了大量伪造代币,Flow称绝大多数均已被控制或被冻结,未被套现。
基金会表示,团队已修复底层漏洞,增加了更严格的运行时检测并扩展了回归测试,以防止类似漏洞再次出现。基金会还正与取证机构及执法合作,计划加强监控和漏洞赏金计划,提升整体安全性。
Flow的NFT后市场低迷
非同质化代币项目加密猫(CryptoKitties)开发商Dapper Labs于2019年9月宣布开发公链Flow,定位为新的第一层区块链,旨在解决游戏和数字藏品等消费级应用的可扩展性难题。
旗下官方NBA数字视频高光NFT交易平台NBA Top Shot早期表现出色,2020至2021年间为Flow区块链带来主流市场关注。据CoinGecko数据,FLOW代币2021年一度突破40美元。
Flow热度延续至2022年,项目方获得包括Andreessen Horowitz(a16z)和Union Square Ventures在内的投资者7.25亿美元融资,用于生态系统开发。
随着NFT市场交易活跃度下滑,FLOW代币也逐渐失去动能,目前已跌出加密货币市值排行前300名。
去年12月27日黑客事件发生后,这一跌势加剧,FLOW在五小时内暴跌约40%。
该代币随后在1月2日跌至0.075美元低点,随后开始回暖。据Cointelegraph数据,截至发稿时,FLOW价格约为0.10美元,过去24小时涨幅约16%。
