Flow归咎于Cadence运行时类型混淆漏洞导致390万美元被盗

Flow 于 2026 年 1 月 6 日发布了事故后报告,讨论了其 390 万美元漏洞利用的根本原因。

攻击者利用 Cadence 运行时类型混淆漏洞来伪造代币。Flow 表示,没有现有用户余额被访问或遭到破坏。

Flow 确定类型混淆漏洞为漏洞利用的根本原因

Flow 发现类型混淆漏洞是主要原因。该漏洞使攻击者能够通过将受保护资产伪装成常规数据结构来规避运行时安全检查。攻击者协调执行了约 40 个恶意智能合约。

攻击始于 2025 年 12 月 27 日 15:25(马来西亚时间),区块高度 137,363,398。首次部署后几分钟,伪造代币的生产就开始了。攻击者使用可复制的标准数据结构来伪装本应无法复制的受保护资产。通过利用 Cadence 的仅移动语义,这使得代币伪造成为可能。

Cadence 和完全 EVM 等效环境是 Flow 运行的两个集成编程环境。在这种情况下,漏洞利用针对的是 Cadence。

网络在首次恶意交易后六小时内关闭

12 月 27 日,在区块高度 137,390,190,Flow 验证者于 21:23(马来西亚时间)开始协调网络暂停。所有逃逸路径都被切断,停机发生在首次恶意交易后不到六小时。

12 月 27 日 15:42(马来西亚时间),伪造的 FLOW 正在被转移到中心化交易所存款账户。由于其规模和不规则性,大部分发送到交易所的大额 FLOW 转账在收到时就被冻结了。从 12 月 27 日 16:06(马来西亚时间)开始,一些资产通过 Celer、deBridge 和 Stargate 桥接到链外。

17:30(马来西亚时间),首次检测信号被触发。此时,交易所存款与异常的跨虚拟机 FLOW 转移相关联。随着伪造的 FLOW 从 17:00(马来西亚时间)开始被清算,中心化交易所面临巨大的抛售压力。

交易所归还 4.84 亿个伪造 FLOW 代币

根据 Flow 的说法,攻击者在多个中心化交易所存入了 10.94 亿个假 FLOW。交易所合作伙伴 Gate.io、MEXC 和 OKX 归还了 484,434,923 个 FLOW,这些已被销毁。剩余伪造品供应的 98.7% 已在链上被隔离,正在销毁过程中。预计在 30 天内完全解决,与其他交易所合作伙伴的协调仍在进行中。

在社区评估了包括检查点恢复在内的几个恢复选项后,选择了恢复策略。Flow 与基础设施合作伙伴、跨链桥运营商和交易所进行了生态系统范围的磋商。

Flow 的 390 万美元漏洞利用事件与 2025 年 12 月底和 2026 年 1 月初影响加密协议的类似安全事件模式相符。BtcTurk 在 2026 年 1 月 1 日遭受了 4,800 万美元的热钱包入侵。黑客入侵了该中心化交易所的热钱包基础设施,并在 Ethereum、Arbitrum、Polygon 和其他链上抽走资金。

Binance 在 1 月 1 日经历了涉及 BROCCOLI 代币的做市商账户操纵事件。

想让您的项目展现在加密行业顶尖人士面前吗?在我们的下一份行业报告中展示它,让数据产生影响力。