Flow 面臨回滾反彈，因執行層遭遇價值 3.9 百萬美元的漏洞攻擊

Flow 在遭遇390萬美元的漏洞後暫停，放棄全面回滾計劃，轉而採用有針對性的代幣銷毀，以維持用戶活動並重建信任。
摘要

• 一名攻擊者利用 Flow 的執行層在跨鏈橋中進行約390萬美元的資產提取，然後驗證者停止了網絡並尋求發行者和交易所的凍結。
• 一個提議回滾到攻擊前的檢查點引來橋接運營商和律師的批評，他們警告可能出現雙重餘額、無擔保資產和信任損害。
• Flow 的修訂計劃取消了全球回滾，針對欺詐性鑄幣，分階段重啟並限制被標記的帳戶，同時保留合法用戶活動。

Flow 區塊鏈在遭遇390萬美元漏洞後提出的交易回滾方案引發生態系合作夥伴的反對，促使該網絡基金會修訂其補救措施。

Flow 加密貨幣與跨鏈橋一同前行

根據 Flow 基金會的說法，一名攻擊者於12月27日利用 Flow 的 (FLOW) 執行層的漏洞，通過多個跨鏈橋提取約390萬美元的資產，然後驗證者停止了鏈的運行。基金會和取證合作夥伴 FindLabs 表示，未訪問到現有用戶餘額，漏洞已被控制，並已向主要交易所和穩定幣發行商發出凍結請求。

攻擊者的以太坊錢包已被識別，調查人員報告追蹤到通過 Thorchain 和 Chainflip 進行洗錢的企圖。

Flow 核心開發者提議回滾到漏洞前的檢查點，這將清除在數小時窗口內提交的所有交易，並要求用戶和基礎設施提供者重新提交活動。基金會表示，回滾將中和未經授權的鑄幣，並恢復帳本。

跨鏈橋 deBridge 的創始人 Alex Smirnov 表示，他在公開宣布回滾決策後才得知此事。Smirnov 警告稱，回滾可能會導致在回滾窗口期間提取資產的用戶出現雙重餘額，而其他在此期間提取的用戶則可能面臨損失，且沒有明確的補償計劃。他呼籲 Flow 的驗證者在基金會澄清這些案件的解決方案以及 LayerZero（Flow 上主要的 USDC 保管人）等托管方如何處理受影響的轉帳之前，暫停交易驗證。

Flowscan 的數據顯示，網絡在一個固定的區塊高度停滯了較長時間。根據市場數據，漏洞和回滾公告後，FLOW 代幣價格下跌，一些中心化交易所暫時停止交易。

DeFiLlama 的數據顯示，Flow 的總鎖倉價值在事件後下降，並在24小時內部分回升。

Delphi Labs 的總法律顧問 Gabriel Shapiro 表示，這種做法有可能將損失轉嫁給橋接和發行商，因為會產生無擔保資產。Smirnov 認為，回滾帶來的財務損失可能超過原始漏洞。由於擔心逆轉已確認的交易以及去中心化的疑慮，鏈上回滾在加密貨幣網絡中仍屬罕見。

12月29日，Flow 基金會宣布在與橋接運營商、交易所和驗證者協商後制定的修訂補救計劃。新方案放棄了全球回滾，而是專注於隔離並銷毀欺詐性鑄幣，同時保留合法用戶活動。推出 Flow 的 Dapper Labs 表示已審查並支持修訂方案，且沒有影響到 Dapper Labs 用戶的餘額或資產。

根據新方案，網絡將分階段重啟，暫時限制被法證分析識別為接收非法代幣的帳戶。驗證者批准了軟體升級以實現有針對性的補救措施，並在逐步恢復的前期以只讀測試模式重新上線。基金會表示，大多數帳戶將保持不受影響，並承諾在正常運作逐步恢復期間持續提供更新。