上週六下午,一場突如其來的黑客攻擊讓 Flow 網路陷入混亂。這條由 Dapper Labs 團隊打造的 Layer 1 網路,本是為下一代應用、遊戲和數位資產量身定制,卻在執行層漏洞被利用下,眼睜睜看著 390 萬美元的資產被轉移至鏈外。攻擊發生後,其代幣 FLOW 短時內腰斬,從 0.173 美元暴跌至 0.079 美元,目前價格已小幅反彈至 0.107 美元附近。
FLOW K 線圖
下面,Odaily 星球日報為大家梳理本次 Flow 被盜事件,官方回應以及為何引發 Flow 合作夥伴、社區的強烈質疑。
攻擊發生後,Flow 基金會迅速作出回應,並對事件細節進行了確認。攻擊者利用執行層漏洞轉移了約 390 萬美元資產,事件並未觸及用戶既有餘額,用戶存款仍然安全。目前相關攻擊地址已被標記,洗錢路徑正在持續追踪中,基金會已向 Circle、Tether 以及多家主要交易平台提交資產凍結請求。
為清理鏈上非法交易並修復漏洞,Flow 基金會對網路進行了隔離處理,同時發布主網漏洞修復版本 Mainnet 28。基金會提出的初始處置方案是將網路狀態回滾至攻擊發生前的檢查點,即 Cadence 區塊高度 137363395,從而刪除約 6 小時內產生的全部交易記錄。無論交易是否合法,均將被一並清除,用戶需在節點重啟後重新提交交易。基金會認為該方案是恢復網路完整性的最安全路徑,並反覆強調用戶資金在整個過程中不會受到影響,同時承諾每兩小時對外更新事件進展。
這一回滾決定看似果斷,卻迅速點燃了生態導火索——因為黑客資金早已橋接出鏈,回滾對攻擊者無影響,只會波及誠實用戶和夥伴。
回滾方案公佈後,Flow 生態內的跨鏈橋夥伴與社區用戶迅速遭到集體質疑。Flow 的主要跨鏈橋合作夥伴 deBridge 聯創 Alex Smirnov 在 X 平台公開批評該決定過於倉促,且在事前未與關鍵橋接夥伴進行任何溝通。作為 Flow 生態的重要資產通道,deBridge 並未收到回滾相關的提前通知。
Smirnov 指出,回滾帶來的潛在破壞可能遠超最初的駭客攻擊本身。由於跨鏈資產已在多個系統間流轉,強行回滾將引發資產重複、托管狀態不一致等嚴重問題,最終受損的將是在窗口期內正常操作的橋、用戶以及交易對手。他披露,在 deBridge 上約有 20 萬美元和 5 萬美元的存款落入回滾時間窗口,一旦執行回滾,可能導致一側資金凭空消失,或出現資產被重複鑄造的極端情況。
基於上述風險,Smirnov 呼籲 Flow 驗證者暫停出塊與驗證,直到補償方案、合作夥伴協調機制以及獨立安全團隊介入方案全部明確。類似問題並非個案。作為 Flow 網路上 USDC 的主要跨鏈托管方,LayerZero 亦面臨約 22 萬美元和 18 萬美元落在回滾窗口內的跨鏈交易風險。
除了 Flow 生態內的跨鏈橋夥伴,在 X 平台上,用戶開始集中表達對資金安全的擔憂,開發者則質疑網路在極端情況下的可靠性與治理機制,投資者情緒同步轉向謹慎,抛壓隨之加劇。大量聲音直指回滾本身暴露了鏈上存在中心化控制的現實,原本的技術事故迅速演變為信任危機。
部分社區觀點進一步將矛頭對準區塊鏈的核心原則。有人認為,回滾直接動搖了交易最終性與不可篡改性,使 Flow 在關鍵時刻更像一條可被行政干預的聯盟鏈。也有人對比其他公鏈的歷史安全事件,指出類似情形通常通過隔離攻擊者地址、凍結資金流向來處理,而非對整個網路狀態進行全局回滾。
加密 KOL Wazz(@WazzCrypto)在 X 平台直言,Flow 的回滾決定是他所見過最糟糕的處理方式之一。在他看來,攻擊者早已將約 400 萬美元資產轉移出鏈,幾乎不會因回滾受到任何實質影響,真正承擔代價的反而是那些通過跨鏈橋正常使用網路的無辜用戶。
面對合作夥伴和社區的強烈反對,Flow 官方最終決定放棄網路回滾,轉向「隔離恢復計劃」。此方案經跨鏈橋、交易平台和基礎設施夥伴直接協商制定,要點包括
