深入了解 $3.9M 盜竊:網絡停機、修復與用戶保障
2025-12-29
Flow 區塊鏈在 2025 年底面臨了其最嚴重的安全測試之一。一個價值 390 萬美元的漏洞暴露了網路執行層的弱點,引發了即時停機和 Flow 基金會及其生態系統合作夥伴的快速協調反應。
雖然這一事件動搖了市場信心,但它也提供了一個罕見而透明的視角,展示了現代Layer-1網絡在危機應對、法醫恢復和在壓力下保障用戶的方式。
這篇文章分析了發生了什麼事情、漏洞如何展開、所部署的修復措施,以及這最終對 Flow 的長期安全狀態意味著什麼。
流量網路安全漏洞:發生了什麼?
在2025年12月27日,流量網路檢測到異常鏈上活動綁定到未經授權的資產鑄造。根本原因被追溯到執行層的漏洞,該組件負責處理和驗證交易。
一旦被利用,該漏洞使攻擊者能夠在不遵循標準授權途徑的情況下鑄造和提取資產。提取的總價值達到約390萬美元,標誌著此事件成為Flow迄今為止最具財務影響力的安全漏洞之一。
閱讀更多:比特幣和狗狗幣免費獎品:Robinhood 節慶加密貨幣促銷活動內幕
如何執行390萬美元的流量黑客攻擊
執行層漏洞解釋
這次漏洞並不是源於錢包或私鑰被破解。相反,它針對的是執行邏輯在處理某些狀態轉換時的系統性弱點。通過操控這個缺陷,攻擊者能夠鑄造在正常協議規則下不應存在的資產。
這個區別非常重要。執行層面的漏洞是特別危險的,因為它們完全繞過了用戶級的安全性,直接攻擊協議的核心。
受影響的資產在流動性利用中
攻擊者提取了多種本地和橋接資產的混合,包括:
FLOW 代幣
包裝比特幣 (WBTC)
包裝以太幣 (WETH)
多種穩定幣
這些資產迅速被整合並準備進行鏈下混淆。
跨鏈清洗:資金如何轉移
用於退出流網路的橋樑
為了模糊交易路徑,攻擊者通過幾個跨鏈橋路由資金,包括 Celer、Debridge、Relay 和 Stargate。這些橋樑使資產能夠快速且流動地退出 Flow 生態系統,進入其他區塊鏈環境。
透過 Thorchain 和 Chainflip 洗錢
一旦通過橋接轉移,盜竊的資產便透過 Thorchain 和 Chainflip 進行洗錢。這些協議促進了交換和跨鏈操作,將資金分散在不同的網絡之中,使追蹤變得更加複雜。
這一模式與更廣泛的行業趨勢一致,即跨鏈基礎設施在後期利用剝削進行洗錢的情況越來越普遍。
閱讀亦可:比特幣價格歷史:BTC 如何從一個概念演變為六位數資產
緊急網絡關閉及隔離措施
只讀模式與錢包凍結
一旦確認了漏洞,Flow 基金會立即啟動了網絡範圍內的響應。所有退出操作被暫停,受影響的錢包被凍結,並且區塊鏈已被置於只讀模式。這有效地停止了進一步的未經授權行為,同時保留了鏈上數據以進行取證分析。
交換和穩定幣發行者協調
主要交易所如 Upbit 和 Bithumb 迅速暫停了 FLOW 的存款和提款。同時,凍結請求已發送給穩定幣發行商,如 Circle 和 Tether,以防止進一步移動非法資金。
這種協調程度顯著減少了攻擊者變現剩餘資產的能力。
修正與技術修復
主網 28 和執行層補丁
Flow 開發者與安全夥伴合作,進行了深入的取證審查。結果是部署了 Mainnet 28,這是一個針對性的更新,旨在消除使該漏洞得以利用的執行層漏洞。
在此階段,所有流動性池和跨鏈橋都暫時禁用,以確保可以應用補丁而不產生額外的風險。
加強未來的防禦
除了即時修復之外,這一事件引發了有關執行層加固、增強運行時檢查和更嚴格異常檢測的更廣泛討論。這些措施旨在減少攻擊面並改善整個網絡的提前警告能力。
用戶保障:資金為何保持安全
儘管這次漏洞的規模很大,但合法用戶的餘額和存款並未受到影響。沒有零售用戶報告直接損失,因為此次泄露並未涉及被盜的錢包或來自個人帳戶的未經授權轉帳。
通過將控制優先於連續性,Flow 基金會確保了用戶資產保持完整,同時穩定了網絡。這種做法儘管在短期內具有破壞性,但增強了人們對 Flow 在資產保護方面承諾的信任。
市場影響及長期影響
隨即而來的是劇烈的價格波動和恐慌性拋售,反映了市場對協議層面漏洞的敏感性。然而,對事件的透明處理及未造成用戶損失,可能在長期內顯得更為重要。
對於 Flow 而言,這次駭客攻擊既是警告,也是催化劑。它突顯了攻擊者技術日益精緻的趨勢,同時強調了下一代區塊鏈中執行層韌性的必要性。
常見問題解答
Flow Network安全漏洞的原因是什麼?
該漏洞是由於 Flow 的執行層中的一個弱點,這使得攻擊者能夠在未經適當授權的情況下鑄造和竭盡資產。
在Flow駭客事件中盜竊了多少資金?
大約有390萬美元的資產,包括FLOW、WBTC、WETH和穩定幣,被非法提取。
使用者的資金受到這次漏洞影響了嗎?
沒有。用戶的餘額和存款保持完整,且合法持有者並未報告任何損失。
為什麼 Flow 停止了網絡運作?
網絡被設置為只讀模式,以防止進一步的利用、保留取證數據,並允許安全的補丁部署。
漏洞已修復了嗎?
是的。該問題已通過修補更新(主網28)進行處理,並採取了額外的安全措施以防止未來類似的攻擊。
Bitrue 官方網站:
網站您訓練的數據截至2023年10月。您已經訓練到2023年10月的數據。
免責聲明:所表達的觀點僅代表作者本人,並不反映此平台的觀點。本平台及其關聯公司不承擔對所提供信息的準確性或適用性的任何責任。此信息僅供參考,並非財務或投資建議。
免責聲明:本文內容不構成財務或投資建議。
