Flow 詳情：3.9M 美元漏洞，因 Cadence 缺陷導致代幣重複使用

來源：DefiPlanet 原始標題：Flow詳情：因Cadence漏洞導致的390萬美元攻擊事件 原始連結：

快速摘要

• 一個Cadence運行時漏洞允許代幣複製，導致已確認損失390萬美元。
• 未有用戶餘額被盜；大多數偽造資產在清算前已被凍結。
• Flow已修補該問題，並推出了更嚴格的安全與監控措施。

技術細節

Flow基金會發布了一份事後技術分析，解釋了一個協議層級的漏洞，該漏洞允許攻擊者在網絡上偽造代幣，造成估計390萬美元的損失，事後該事件被控制。

該漏洞發生於12月27日，源於Flow的Cadence運行時中的一個缺陷，該缺陷允許某些資產被複製而非正確鑄造。這繞過了供應控制，但未涉及盜取或存取現有用戶餘額。

驗證者識別出惡意活動，並在首次攻擊交易後六小時內協調網絡暫停。在暫停期間，區塊鏈被設置為只讀狀態，以防止進一步的資產複製，同時主要交易所合作夥伴在資產被出售前凍結了大多數偽造代幣。

Flow表示，經過一個“孤立恢復”過程，兩天後正常運作得以恢復，該過程保留了合法交易記錄，並通過治理批准實現了假資產的回收與永久銷毀。

基金會強調，沒有用戶資金被盜，因為該漏洞涉及的是複製而非移除資產。少數與偽造代幣互動的帳戶被暫時限制，而超過99%的用戶在恢復期間保持完全訪問權。

安全修補與未來措施

儘管攻擊者在鏈上創造了大量偽造代幣，Flow表示大多數在清算前已被控制或凍結。

相關漏洞已被修補，基金會引入了更嚴格的運行時檢查、擴展的回歸測試和增強的監控工具。Flow也正與取證專家和執法部門合作，並承諾未來推出更強的漏洞獎勵和安全加固計劃。

市場背景

Flow由Dapper Labs於2019年推出，旨在支持面向消費者的區塊鏈應用，早期通過NBA Top Shot獲得關注，推動FLOW代幣在2021年NFT熱潮中突破$40 。

該項目在2022年籌集了約$725 百萬美元，投資者包括Andreessen Horowitz和Union Square Ventures，但隨著NFT活動的減少，動能逐漸放緩。如今，FLOW已跌出市值前300名的加密貨幣之列。