Flow 假代幣漏洞曝光！5 小時暴跌 40% 損失 390 萬美元

Flow 基金會揭露 12 月 27 日協議級漏洞損失 390 萬美元。攻擊者利用 Cadence 缺陷複製資產而非竊取，驗證者 6 小時內暫停網路。FLOW 5 小時暴跌 40%，從 2021 年 40 美元跌至 0.075 美元。Flow 由 Dapper Labs 創建，曾獲 a16z 投資 7.25 億美元。

協議層複製代幣的技術漏洞解析

Flow 基金會週二發布了一份技術分析報告，詳細介紹了 12 月 27 日發生的協議級漏洞事件。攻擊者利用了 Flow 的 Cadence 運行環境中的漏洞，該漏洞允許複製某些資產而非鑄造，從而繞過供應控制，且無需存取或消耗現有用戶餘額。

這種攻擊方式在區塊鏈安全史上極為罕見。傳統的駭客攻擊通常是竊取私鑰或利用智能合約漏洞轉走用戶資產，但 Flow 的漏洞允許攻擊者憑空「複製」代幣，就像影印機複印鈔票一樣。由於攻擊複製了資產而非從帳戶中竊取資金，因此沒有現有用戶餘額受到影響。這種特性使得漏洞在初期難以察覺，因為用戶不會發現自己的錢包餘額減少。

在第一筆惡意交易發生後的六小時內，驗證者協調暫停了網路運行，而交易所合作夥伴則在大部分偽造資產被出售之前將其凍結。Flow 表示，此次臨時停駛將網路置於唯讀模式，以切斷出口路徑並防止進一步的資料複製，同時對問題進行調查。

兩天后，營運根據一項「隔離恢復」計劃恢復，該計劃保留了合法的交易記錄，並授權透過經管理層批准的流程回收和永久銷毀偽造資產。雖然攻擊者在鏈上生成了大量的偽造代幣，但 Flow 表示，絕大多數偽造代幣在清算前已被控制或凍結。作為預防措施，少數與偽造代幣進行過交互的帳戶被暫時限制訪問，而超過 99% 的帳戶在恢復期間及恢復後均保持了完全訪問權限。

Flow 漏洞事件時間軸與處理流程

12 月 27 日首筆攻擊：駭客利用 Cadence 漏洞開始複製代幣

6 小時內網路暫停：驗證者協調進入唯讀模式，切斷攻擊路徑

交易所緊急凍結：合作夥伴在多數偽幣出售前執行凍結

兩天後隔離恢復：保留合法交易，銷毀偽造資產，99% 帳戶不受影響

從 40 美元到 0.075 美元的漫長衰落

（來源：CoinGecko）

非同質化代幣專案 CryptoKitties 的創建者 Dapper Labs 於 2019 年 9 月宣布開發 Flow，這是一個新的第 1 層區塊鏈，旨在解決遊戲和數位收藏品等消費者應用程式面臨的可擴展性挑戰。NBA Top Shot（一個用於交易官方授權 NBA 影片精華的 NFT 平台）的早期成功，幫助 Flow 區塊鏈在 2020 年和 2021 年獲得了主流關注。

在此背景下，根據 CoinGecko 的數據，該網路的 FLOW 代幣在 2021 年飆升至 40 美元以上。Flow 的發展勢頭延續到了 2022 年，該項目從包括 Andreessen Horowitz (a16z) 和 Union Square Ventures 在內的投資者那裡籌集了約 7.25 億美元，以支持生態系統發展。這種頂級機構背書使 Flow 一度被視為 NFT 基礎設施的王者。

隨著 NFT 市場在隨後的幾年逐漸降溫，FLOW 代幣也失去了發展勢頭，此後市值跌出了前 300 名加密貨幣之列。12 月 27 日駭客攻擊事件發生後，FLOW 股價下跌速度加快，五小時內下跌了約 40%。該代幣價格在 1 月 2 日一度跌至 0.075 美元的低點，之後開始回升。根據 Cointelegraph 數據顯示，截至發稿時，其交易價格接近 0.10 美元，過去 24 小時內上漲了約 16%。

從 40 美元到 0.075 美元，跌幅超過 99.8%，這種崩盤幅度即使在加密市場也屬極端。Flow 的衰落反映了整個 NFT 基礎設施板塊的困境，當投機熱潮退去，缺乏實際應用的項目迅速被市場拋棄。

漏洞修復與未來安全強化措施

基金會表示，他們已修復了底層漏洞，增加了更嚴格的運行時檢查，並擴展了回歸測試，以防止類似攻擊。此外，他們還與取證合作夥伴和執法部門合作，並計劃加強監控和漏洞賞金計劃，作為更廣泛的安全加固措施的一部分。

這種全面的安全響應是必要的，但也暴露了 Flow 在早期設計上的缺陷。Cadence 作為 Flow 的核心智能合約語言，其運行環境存在允許資產複製的漏洞，顯示代碼審計和安全測試存在盲點。對於一個已運行數年、處理過數億美元交易的區塊鏈而言，這種協議級漏洞的出現極為罕見且嚴重。

漏洞賞金計劃的加強是積極信號，但投資者信心已受損。Flow 需要透過持續的安全審計、透明的事故報告和零漏洞記錄來重建信任。在當前競爭激烈的 Layer-1 市場中，一次重大安全事故可能是致命的。