Flow基金會週二發布了一份技術事故復盤,詳細披露了去年12月27日發生的協議層攻擊,駭客利用該漏洞在網路上偽造代幣,已確認損失約390萬美元,事件被控制前已造成上述損失。
根據該報告,攻擊者利用了Flow的Cadence執行時中的一個漏洞,使部分資產可以被複製,而非正常鑄造,從而繞過了供應管控,無需存取或竊取現有用戶餘額。驗證者在首批惡意交易發生後六小時內協同進行了網路暫停,各交易所合作夥伴在偽造資產出售前凍結了大部分假幣。
Flow表示,臨時停擺將網路切換至唯讀模式,以切斷出金通道,同時阻止更多資產複製並展開調查。兩天後,網路根據“隔離回暖”方案重啟,既保留了合法交易歷史,同時經治理批准,完成了偽造資產的追溯與永久銷毀。
支持Flow網路的Flow基金會表示,事件未導致任何現有用戶餘額被盜,因漏洞導致的是資產偽造而非帳戶資金被移除。部分涉及偽造代幣的帳戶作為預防措施被臨時限制,超過99%的帳戶在回暖期間及其後保持完全存取權。
雖然攻擊者在鏈上生成了大量偽造代幣,Flow稱絕大多數均已被控制或凍結,未被變現。
基金會表示,團隊已修復底層漏洞,增加了更嚴格的執行時檢測並擴展了回歸測試,以防止類似漏洞再次出現。基金會還正與鑑識機構及執法合作,計畫加強監控和漏洞獎金計畫,提升整體安全性。
Flow的NFT後市場低迷
非同質化代幣專案加密貓(CryptoKitties)開發商Dapper Labs於2019年9月宣布開發公鏈Flow,定位為新的第一層區塊鏈,旨在解決遊戲和數位藏品等消費級應用的可擴展性難題。
旗下官方NBA數位影片高光NFT交易平台NBA Top Shot早期表現出色,2020至2021年間為Flow區塊鏈帶來主流市場關注。據CoinGecko數據,FLOW代幣2021年一度突破40美元。
Flow熱度延續至2022年,專案方獲得包括Andreessen Horowitz(a16z)和Union Square Ventures在內的投資者7.25億美元融資,用於生態系統開發。
隨著NFT市場交易活躍度下滑,FLOW代幣也逐漸失去動能,目前已跌出加密貨幣市值排行前300名。
去年12月27日駭客事件發生後,這一跌勢加劇,FLOW在五小時內暴跌約40%。
該代幣隨後在1月2日跌至0.075美元低點,隨後開始回暖。據Cointelegraph數據,截至發稿時,FLOW價格約為0.10美元,過去24小時漲幅約16%。
