Flow在遭遇390萬美元的攻擊後,計劃撤銷部分區塊鏈歷史記錄,此舉引發了生態系統合作夥伴的強烈反對。此舉再次點燃了關於加密網路不可竄改性和危機管理的長期爭論。
這場爭議始於 12 月 27 日,當時一名攻擊者利用 Flow 執行層中的一個漏洞,透過多個跨鏈橋從網路中竊取了大約 390 萬美元的資產,之後驗證者停止了該鏈的運作。
Flow Foundation 和取證合作夥伴 FindLabs 隨後證實,現有用戶餘額並未被訪問,並表示漏洞已被迅速控制,已繪製出退出路徑,並向主要交易所和穩定幣發行商發送了凍結請求。
攻擊者的以太坊錢包已被識別,調查人員表示,他們正在即時追蹤透過THORChain和 Chainflip 進行的洗錢活動。
在系統停止運作後的幾個小時內,Flow 核心開發人員提議回滾到漏洞之前的檢查點,此舉將刪除幾個小時內提交的所有交易,並要求用戶和基礎設施提供者重新提交活動。
網路活動凍結,流程夥伴質疑回滾機制。
基金會將此次回溯解釋為消除未經授權的鑄幣行為,並將帳本恢復到乾淨狀態的一種方式。然而,該提議立即引起了主要合作夥伴的警覺,他們表示事先並未被諮詢。
跨鏈橋 deBridge 的創辦人 Alex Smirnov表示,他是在回滾決定公開宣布後才得知此事的。 deBridge 是 Flow 的主要橋接提供者之一。
斯米爾諾夫警告說,回滾區塊鏈可能會導致在回滾窗口期間將資產轉出的用戶餘額翻倍,而其他轉入的用戶則面臨損失,且沒有明確的補償計劃。
他敦促 Flow 驗證者暫停交易驗證,直到基金會澄清這些極端情況將如何解決,以及像 LayerZero(Flow 上主要的USDC託管機構)這樣的託管機構應該如何處理受影響的轉帳。
Flowscan 的數據顯示,該網路在固定區塊高度停滯了相當長一段時間,儘管基金會表示預計幾個小時內就會重啟。
漏洞利用和回溯公告發布後,FLOW 代幣下跌超過 40%,不確定性波及整個市場,一些中心化交易所暫時停止了交易。
DefiLlama的數據顯示,Flow 的總鎖定價值在事件發生後從 1.07 億美元降至7,380 萬美元,隨後反彈至約 9,720 萬美元,24 小時內恢復了 31%。
Flow採納了範圍較窄的恢復計劃,回滾爭議就此結束。
隨著法律和技術觀察人士的介入,批評之聲愈演愈烈。
Delphi Labs 總法律顧問 Gabriel Shapiro表示,這種做法實際上創建了無擔保資產,有可能將損失轉嫁給過橋債券和發行人;而 Smirnov 則認為,回滾造成的財務損失可能超過最初的漏洞利用。
在加密貨幣領域,鏈回滾仍然很少見且充滿爭議,因為它會撤銷已確認的交易,並引發關於去中心化和信任的問題。
面對日益增長的壓力,Flow基金會改變了策略。 12月29日,該基金會宣布了一項修訂後的補救計劃,該計劃是在與橋樑運營商、交易所和驗證機構協商後製定的。
更新後的方法放棄了全域回滾,而是專注於隔離和銷毀欺詐性鑄造的代幣,同時保留合法用戶的活動。
Flow 的開發商Dapper Labs表示,他們已審閱並支持修訂後的方案。
根據新計劃,網路將分階段重新啟動,暫時限制透過獨立取證分析確定為非法代幣接收者的帳戶。
驗證人員隨後批准了一項軟體升級,實現了這項針對性修復,網路在分階段恢復之前以唯讀測試模式重新上線。
基金會表示,超過 99.9% 的帳戶將不受影響,並承諾隨著正常營運逐步恢復,將持續發布最新消息。
