區塊鏈

FLOW大跌40% 發生了什麼？

金色財經2025-12-29 23:30

鄧通，金色財經

2025年12月27日，因安全漏洞問題，FLOW急速下跌，跌幅超40%。截至發稿，FLOW價格依舊不甚樂觀，報0.1039美元，7天跌幅39.7%。

本文回顧Flow被攻擊事件，Flow的最終補救方案是什麼？為何最終放棄了回滾？加密史上有哪些回滾案例？

‌

一、多方反應

1.Flow官方

在事件發生之初，Flow官方在X平台發文宣布，Flow基金會目前正在調查可能影響Flow網路的安全事件，目前工程團隊正與網路合作夥伴積極協作以緩解問題影響，並且將儘快提供經核實的最新資訊。

2.交易所

Bithumb宣布由於FLOW系統維護，將於2025年12月27日星期日晚上9點暫時中止FLOW存款和取款。

Upbit發布公告稱，因Flow（FLOW）主網出現安全事故跡象，已於12月27日起臨時暫停FLOW的充值與提現，作為用戶保護措施，恢復時間將另行通知。

韓國數字資產交易所聯合體（DAXA）決定對FLOW發布交易風險提示。DAXA表示，已確認Flow主網存在安全問題跡象，後續不排除根據調查進展採取交易注意標的指定或終止交易支持等進一步措施。

12月29日，Upbit發布公告：FLOW被指定為謹慎交易的項目期限為韓國標準時間2025年12月29日星期一14:00至2026年1月14日星期三23:59。

二、攻擊類型及經濟損失

12月28日，Flow官方在X平台發文表示，攻擊者利用Flow執行層漏洞在網路停機前轉移約390萬美元資產。此次攻擊未訪問用戶現有餘額，所有用戶存款安全。目前約390萬美元資金主要通過Celer、Debridge、Relay、Stargate等橋接器流出，攻擊者錢包已被識別並標記，其通過Thorchain和Chainflip進行的洗錢活動正被實時追蹤。Flow基金會已向Circle、Tether及主流交易所提交凍結請求。目前網路已停止運行以切斷所有出口路徑，修複方案正在進行最終驗證。目標重啟時間為4至6小時內，具體取決於測試網驗證結果。FindLabs正發布包含交易哈希和攻擊者以太坊錢包地址的取證數據。

安全專家 Taylor Monahan 指出：攻擊者能夠「鑄造原生代幣 FLOW 以及其他橋接代幣，例如 WBTC、WETH 和穩定幣」。

鏈上分析師 Wazz 認為，此次攻擊模式更符合私鑰泄露的特徵，而非智能合約漏洞。

三、Flow的最終補救方案：放棄回滾

12月28日，Flow在X平台發文表示，為了維護網路完整性並優先考慮用戶安全，Flow基金會提出的一項協議修複方案（Mainnet28）已被網路驗證者接受並成功部署，目前已開始生成區塊，但一般交易接收仍處於暫停狀態，在全面恢復營運之前必須與關鍵生態系統合作夥伴（橋接器、中心化交易所和去中心化交易所）進行強制同步，確保內部系統與Flow賬本的恢復狀態完全同步。

12月29日，Flow.com於X平台發文稱，Flow基金會已聯合生態合作夥伴制定修訂後的補救方案。該方案是在與跨鏈橋營運商、交易所及基礎設施合作夥伴直接磋商後敲定的。網路重啟後，作為預防性措施，所有被識別為欺詐鑄造代幣接收方的帳戶將被臨時限制權限。Flow基金會正聯合獨立區塊鏈取證機構，核實此次漏洞攻擊相關的具體代幣類型及數量。Flow核心開發團隊將向節點營運商提議一項軟體升級。該升級將暫時授權社區治理委員會處理欺詐資產，且需獲得獨立節點營運商的自願採納——無任何單一實體可單方面採取行動。驗證節點達成共識後，將按以下步驟執行：受攻擊者分發攻擊影響的帳戶將被臨時限制權限通過獨立取證分析鎖定並核實受影響帳戶欺詐代幣將通過透明、可審計的鏈上交易銷毀每個完成補救的帳戶將立即恢復全部訪問權限方案執行完畢後，後續升級將撤銷所有臨時提升的權限。

隨後，Flow官方對攻擊事件進行更新，表示放棄網路回滾，轉向「隔離恢復計劃」。新方案要點包括：1、無回滾/重組，保留所有合法用戶活動；2、無需夥伴重放交易；3、超99.9%帳戶不受影響，重啟即正常營運；4、重啟時，臨時限制接收非法鑄造代幣的帳戶；此外，網路將分階段恢復，第一階段，Cadence環境上線，EVM暫時受限；第二階段，Cadence修復（約24-48小時）；第三階段，EVM修復並重啟；第四階段，跨鏈橋/交易所恢復通行，具體恢復時間由營運方根據實際情況在確認穩定性後決定。

截至發稿，Flow官方再次發布攻擊事件更新：驗證者共識已達成，接受擬議的軟體升級方案，網路目前正進入修復和測試階段。Flow網路已上線並開始生成區塊，但由於需要驗證和測試補救協議，一般交易接收仍處於暫停狀態。太平洋時間早上6點，網路將作為Flow網路恢復計劃第一階段的一部分開放，Cadence環境開放操作，受攻擊者投毒攻擊影響的帳戶仍暫時受限，EVM環境暫時受限（只讀）。超過99.9%的Cadence帳戶將在此次過渡期間恢復全部功能。

四、關於回滾方案的爭議

12月29日，deBridge創始人Alex Smirnov呼籲Flow區塊鏈上的驗證者暫停處理交易，直到Flow基金會就其備受爭議的鏈回滾事件制定出針對受影響用戶的補救方案。

deBridge是Flow主要的跨鏈橋服務提供方之一。Smirnov呼籲Flow方面明確說明，如何處理在回滾窗口期內跨鏈轉出資產、從而導致餘額被「翻倍」的用戶問題。

在回滾爭議爆發後，Flow基金會發布更新聲明稱，他們制定了一項「修訂後的補救計劃」，該計劃「無需網路回滾」，並能保護「合法用戶活動」。

區塊鏈發行方Dapper Labs表示，他們已審查並支持最新的恢復計劃：「修訂後的方案能夠保護所有合法用戶活動——這意味著無需回滾——並為恢復網路運行提供了清晰的路徑。」

回滾之所以備受爭議，是因為它會撤銷已確認的交易，導致用戶帳戶餘額出現不確定性，同時削弱了人們對網路去中心化和安全性的信心。

Smirnov 猛烈抨擊了這一「倉促的決定」，「Flow團隊決定回滾區塊鏈，並聲稱正與關鍵生態系統合作夥伴進行強制同步。作為Flow的主要橋接提供商之一，deBridge沒有收到Flow團隊的任何溝通或協調，這構成了重大風險。回滾操作會引入系統性問題，影響到在受影響期間誠實行事的橋接、託管人、用戶和交易對手。」

deBridge曾主動聯繫了一家FLOW交易的大型中心化交易所，該交易所「確認他們並不知曉此次回滾計劃，也未收到任何事先通知」。

加密貨幣投資公司 Delphi Labs 的總法律顧問 Gabriel Shapiro 也抨擊了 Flow 的解決方案，他表示：「他們正在創建無擔保資產來掩蓋自己的過錯，並期望橋接和發行人承擔損失或進行他們自己的單獨緩解措施。」

註：Flow由 Dapper Labs於 2020 年推出，該團隊從 Andreessen 「a16z」 Horowitz 和 Union Square Ventures 等機構獲得了7.25 億美元的資金，以推進生態系統的發展。但Flow 的表現可以說低於預期，區塊鏈上鎖定的價值僅為8550 萬美元，而 FLOW 的市值也跌出了前 300 名，僅為 1.673 億美元。

五、什麼是回滾？適用於哪些場景？有哪些回滾案例？

1.什麼是回滾

回滾是指將區塊鏈賬本從當前的最新狀態，恢復到歷史上某一特定區塊高度狀態的操作，本質是撤銷該特定區塊之後的所有交易記錄與區塊生成行為，讓鏈上數據回到之前的某個「快照」節點。回滾操作的核心是斷開後續區塊的哈希關聯，並將全節點的賬本數據重置到目標區塊高度，相當於讓區塊鏈「時光倒流」。

2.適用場景

重大安全事件

2016 年以太坊The DAO 事件，駭客利用智能合約漏洞盜取約 5000 萬美元 ETH，以太坊社群通過硬分叉回滾相關交易，由此分裂出以太坊（ETH）和以太經典（ETC）。

2018年5月，比特幣黃金（BTG）51% 攻擊，攻擊者掌控 BTG 超 51% 算力，實施雙花攻擊，盜取約 1860 萬美元代幣。

修復致命技術漏洞

若區塊鏈協議存在嚴重 BUG（如共識機制缺陷、區塊打包規則錯誤），導致區塊無法正常生成、交易無法確認，技術團隊會通過回滾到漏洞出現前的區塊，修復漏洞後重新打包區塊。

2018年，比特現金（BCH）ABC 0.17.0 及以下版本存在交易驗證漏洞，攻擊者可構造惡意交易導致網路分叉，部分節點拒絕打包區塊。開發團隊緊急發布補丁，礦工回滾到漏洞出現前的區塊高度，升級客戶端後重新打包區塊，未引發硬分叉，是區塊鏈協議漏洞修復的典型合規案例。

社群共識驅動的調整

在去中心化區塊鏈中，回滾必須獲得絕大多數節點的共識才能執行。如果某筆交易引發社群強烈爭議（如違規大額轉賬、惡意操縱市場），社群可通過投票達成共識，發起回滾操作。

2022年，Terra 鏈算法穩定幣 UST 脫鈎，導致 LUNA 幣價崩盤，用戶損失超 400 億美元，社群對是否回滾早期錯誤交易爭議巨大。經多次投票，因社群未達成全節點共識，最終未執行回滾，僅通過鏈上治理啟動新鏈 Terra 2.0，對舊鏈資產進行快照空投。這也是去中心化公鏈中「共識門檻」對回滾的嚴格約束的案例。