Flow在遭遇390万美元的攻击后,计划撤销部分区块链历史记录,此举引发了生态系统合作伙伴的强烈反对。此举再次点燃了关于加密网路不可窜改性和危机管理的长期争论。
这场争议始于 12 月 27 日,当时一名攻击者利用 Flow 执行层中的一个漏洞,透过多个跨链桥从网路中窃取了大约 390 万美元的资产,之后验证者停止了该链的运作。
Flow Foundation 和取证合作伙伴 FindLabs 随后证实,现有用户余额并未被访问,并表示漏洞已被迅速控制,已绘制出退出路径,并向主要交易所和稳定币发行商发送了冻结请求。
攻击者的以太坊钱包已被识别,调查人员表示,他们正在即时追踪透过THORChain和 Chainflip 进行的洗钱活动。
在系统停止运作后的几个小时内,Flow 核心开发人员提议回滚到漏洞之前的检查点,此举将删除几个小时内提交的所有交易,并要求用户和基础设施提供者重新提交活动。
网路活动冻结,流程伙伴质疑回滚机制。
基金会将此次回溯解释为消除未经授权的铸币行为,并将帐本恢复到干净状态的一种方式。然而,该提议立即引起了主要合作伙伴的警觉,他们表示事先并未被咨询。
跨链桥 deBridge 的创办人 Alex Smirnov表示,他是在回滚决定公开宣布后才得知此事的。 deBridge 是 Flow 的主要桥接提供者之一。
斯米尔诺夫警告说,回滚区块链可能会导致在回滚窗口期间将资产转出的用户余额翻倍,而其他转入的用户则面临损失,且没有明确的补偿计划。
他敦促 Flow 验证者暂停交易验证,直到基金会澄清这些极端情况将如何解决,以及像 LayerZero(Flow 上主要的USDC托管机构)这样的托管机构应该如何处理受影响的转帐。
Flowscan 的数据显示,该网路在固定区块高度停滞了相当长一段时间,尽管基金会表示预计几个小时内就会重启。
漏洞利用和回溯公告发布后,FLOW 代币下跌超过 40%,不确定性波及整个市场,一些中心化交易所暂时停止了交易。
DefiLlama的数据显示,Flow 的总锁定价值在事件发生后从 1.07 亿美元降至7,380 万美元,随后反弹至约 9,720 万美元,24 小时内恢复了 31%。
Flow采纳了范围较窄的恢复计划,回滚争议就此结束。
随著法律和技术观察人士的介入,批评之声愈演愈烈。
Delphi Labs 总法律顾问 Gabriel Shapiro表示,这种做法实际上创建了无担保资产,有可能将损失转嫁给过桥债券和发行人;而 Smirnov 则认为,回滚造成的财务损失可能超过最初的漏洞利用。
在加密货币领域,链回滚仍然很少见且充满争议,因为它会撤销已确认的交易,并引发关于去中心化和信任的问题。
面对日益增长的压力,Flow基金会改变了策略。 12月29日,该基金会宣布了一项修订后的补救计划,该计划是在与桥梁运营商、交易所和验证机构协商后制定的。
更新后的方法放弃了全域回滚,而是专注于隔离和销毁欺诈性铸造的代币,同时保留合法用户的活动。
Flow 的开发商Dapper Labs表示,他们已审阅并支持修订后的方案。
根据新计划,网路将分阶段重新启动,暂时限制透过独立取证分析确定为非法代币接收者的帐户。
验证人员随后批准了一项软体升级,实现了这项针对性修复,网路在分阶段恢复之前以唯读测试模式重新上线。
基金会表示,超过 99.9% 的帐户将不受影响,并承诺随著正常营运逐步恢复,将持续发布最新消息。
