Flow 细节：$3.9M 被盗，源于 Cadence 缺陷导致的代币重复问题

来源：DefiPlanet 原始标题：Flow在Cadence漏洞导致代币复制后，曝光390万美元的漏洞细节 原始链接：

快速概述

• Cadence运行时漏洞导致代币复制，确认损失达390万美元。
• 未有用户余额被盗；大部分伪造资产在清算前被冻结。
• Flow已修补该问题，并推出了更严格的安全和监控措施。

技术细节

Flow基金会发布了一份事后技术分析，解释了一个协议级别的漏洞，允许攻击者在网络上伪造代币，造成估计390万美元的损失，直到事件被控制。

此次漏洞发生在12月27日，源于Flow的Cadence运行时中的一个缺陷，允许某些资产被复制而非正确铸造。这绕过了供应控制，但未涉及盗取或访问现有用户余额。

验证节点识别出恶意活动后，在首次漏洞交易后六小时内协调暂停了网络。在暂停期间，区块链被置于只读状态，以防止进一步的资产复制，同时主要交易所合作伙伴在资产被出售前冻结了大部分伪造代币。

Flow表示，经过“隔离恢复”流程，两天后恢复了正常操作，期间保留了合法交易历史，并通过治理批准实现了伪造资产的回收和永久销毁。

基金会强调，没有用户资金被盗，因为此次漏洞涉及复制而非资产移除。少数与伪造代币交互的账户被暂时限制，而超过99%的用户在恢复期间保持完全访问权限。

安全补丁与未来措施

虽然攻击者在链上创建了大量伪造代币，但Flow表示大部分在清算前已被控制或冻结。

相关漏洞已被修补，基金会引入了更严格的运行时检查、扩展的回归测试和增强的监控工具。Flow还与取证专家和执法部门合作，并承诺未来推出更强的漏洞赏金和安全强化计划。

市场背景

Flow由Dapper Labs于2019年推出，旨在支持面向消费者的区块链应用，通过NBA Top Shot获得早期关注，推动FLOW代币在2021年NFT热潮中突破$40 。

该项目在2022年从投资者（包括Andreessen Horowitz和Union Square Ventures）筹集了大约$725 百万美元，但随着NFT活动的下降，势头减缓。如今，FLOW已跌出市值前300的加密货币行列。