Flow基金会周二发布技术事后分析报告，披露去年12月27日发生的一起协议层面安全事件。报告称，当时有攻击者利用底层漏洞在网络上伪造代币，造成约390万美元的确认损失，相关漏洞随后已被遏制并修补。

协议漏洞与攻击路径

报告显示，攻击者利用的是Flow区块链上Cadence运行时中的一个缺陷。该缺陷在特定条件下允许某些资产被“复制”而非正常“铸造”，从而绕过了原有的供应控制机制。

基金会强调，攻击过程中并未访问或耗尽现有用户账户中的余额，问题出在资产供应被异常扩张，而非从用户账户中直接转出资金。

网络暂停与应急处置

根据报告，在首笔恶意交易被发现后的六小时内，验证者协调对Flow网络实施暂停，将网络切换为只读模式。基金会表示，此举切断了伪造资产的主要退出路径，阻止了进一步复制行为，并为技术调查争取时间。

在此期间，Flow与多家交易所合作，对大部分已生成的伪造代币实施冻结，防止其在二级市场被出售或进一步流通。基金会称，尽管攻击者在链上生成了大量伪造代币，但绝大多数在变现前已被遏制或冻结。

“隔离恢复”与资产销毁

两天后，Flow网络在一项被称为“隔离恢复”的计划下恢复运行。基金会介绍，该方案在保留合法交易历史的前提下，通过治理批准的流程，对伪造资产进行识别、恢复并最终永久销毁。

Flow基金会表示，现有用户余额在事件中未受到直接影响，因为漏洞导致的是资产复制，而非从用户账户中移除资金。作为预防措施，少数与伪造代币发生过交互的账户在恢复阶段被暂时限制访问，而超过99%的账户在网络暂停期间及恢复后始终保持完全访问权限。

修补措施与后续安全安排

基金会在报告中称，导致本次事件的根本性漏洞已完成修补。为降低类似风险，Flow在Cadence运行时中增加了更严格的检查机制，并扩展了回归测试范围，以提高对相关缺陷的覆盖。

此外，Flow基金会表示，正与司法鉴定合作伙伴及执法机构协同推进后续工作，并计划在更广泛的安全加固举措中，强化链上监控和漏洞赏金计划。

Flow生态与代币市场表现

Flow由CryptoKitties非同质化代币（NFT）项目的开发方Dapper Labs于2019年9月宣布推出，定位为面向游戏和数字收藏品等消费级应用的Layer-1区块链，旨在应对可扩展性方面的挑战。

凭借NBA官方授权的视频集锦NFT交易平台NBA Top Shot，Flow在2020年和2021年获得广泛关注。根据CoinGecko数据，Flow原生代币FLOW在2021年一度突破40美元。

Flow的扩张势头延续至2022年。公开信息显示，该项目当年从包括Andreessen Horowitz（a16z）和Union Square Ventures在内的投资方处筹集了约7.25亿美元，用于支持生态系统发展。

随着此后几年NFT市场整体交易活动降温，FLOW代币的市场表现走弱，其市值排名已跌出前300名。

在2023年12月27日黑客事件发生后，FLOW代币价格在约五小时内下跌约40%，跌势进一步加剧。随后，该代币于当周五一度触及0.075美元低点，之后开始回升。

据Cointelegraph数据，在报告发布时，FLOW代币价格接近0.10美元，过去24小时涨幅约为16%。