1 月 7 日,Folw 發佈攻擊事件回顧報告,稱攻擊者利用 Flow 網絡漏洞偽造代幣,通過橋接竊取了約 390 萬美元。此次攻擊未訪問或洩露任何現有用戶餘額。攻擊複製了資產,但並未觸及合法持有的資產,絕大多數偽造資產在被清算前已被鏈上存儲或被交易所合作伙伴凍結。網絡驗證者已批准一項去中心化治理行動,授權永久銷燬所有偽造資產。網絡於 12 月 29 日恢復運行,目前運行正常,所有交易歷史記錄均已保存。
攻擊者按順序部署了 40 多個惡意智能合約,利用了三段式攻擊鏈:1)繞過附件導入驗證;2)繞過內置類型的防禦檢查;3)利用合約初始化器語義漏洞。根本原因是 Cadence 運行時(v1.8.8)中的類型混淆漏洞,該漏洞現已修復(v1.8.9 及更高版本)。該漏洞允許攻擊者將受保護的資產(本應不可複製)偽裝成標準數據結構(可複製),從而繞過運行時的安全檢查並實現代幣偽造。
除了將資產移出 Flow 外,攻擊者還試圖在多箇中心化交易所存入偽造的 FLOW,但因異常交易規模和內部反洗錢協議,多家交易所在收到後凍結了該存款。約 50% 的偽造 FLOW 存款已被合作的交易平臺(如 OKX、Gate、MEXC)退回並銷燬,基金會仍在積極與其他交易平臺協調。
