Автор | Asher(@Asher_ 0210)
В прошлую субботу днем внезапная хакерская атака погрузила сеть Flow в хаос. Этот Layer 1 блокчейн, созданный командой Dapper Labs, изначально предназначенный для приложений, игр и цифровых активов следующего поколения, стал свидетелем того, как активы на сумму 3,9 миллиона долларов были выведены за пределы цепи из-за уязвимости на уровне исполнения. После атаки его токен FLOW моментально обвалился вдвое, упав с 0,173 доллара до 0,079 доллара, и в настоящее время цена немного восстановилась до отметки около 0,107 доллара.
График FLOW K-line
Ниже Odaily Planet Daily представляет обзор инцидента с кражей в Flow, официальные ответы и причины, вызвавшие серьезные сомнения у партнеров и сообщества Flow.
Официальный срочный ответ Flow: изоляция сети и объявление плана отката
После атаки фонд Flow быстро отреагировал и подтвердил детали инцидента. Злоумышленник воспользовался уязвимостью на уровне исполнения, чтобы перевести активы на сумму около 3,9 миллиона долларов; инцидент не затронул существующие балансы пользователей, депозиты пользователей остаются в безопасности. В настоящее время соответствующие адреса атаки помечены, путь отмывания денег отслеживается, фонд уже направил запросы на заморозку активов в Circle, Tether и нескольким крупным биржам.
Для очистки незаконных транзакций в цепи и устранения уязвимости фонд Flow провел изоляцию сети и одновременно выпустил исправленную версию Mainnet 28 для устранения уязвимости в основной сети. Первоначальным планом действий фонда был откат состояния сети к контрольной точке до атаки, а именно к высоте блока Cadence 137363395, что привело бы к удалению всех записей транзакций, созданных примерно за 6 часов. Независимо от того, были ли транзакции законными, все они были бы удалены, и пользователям пришлось бы повторно отправлять транзакции после перезапуска узлов. Фонд считает, что этот план является самым безопасным путем для восстановления целостности сети, неоднократно подчеркивая, что средства пользователей не пострадают в процессе, и обещая обновлять прогресс каждые два часа.
Это решение об откате, казавшееся решительным, быстро разожгло экосистемный конфликт — поскольку средства хакера уже были выведены из цепи через мост, откат не повлиял бы на злоумышленника, а затронул бы только честных пользователей и партнеров.
Партнеры по кросcчейн-мостам и пользователи сообщества решительно против, план отката подвергся резкой критике
После объявления плана отката партнеры по кросcчейн-мостам внутри экосистемы Flow и пользователи сообщества быстро выразили коллективные сомнения. Соучредитель основного партнера Flow по кросcчейн-мостам deBridge Алекс Смирнов публично раскритиковал это решение на платформе X как поспешное и принятое без какого-либо предварительного обсуждения с ключевыми партнерами по мостам. Будучи важным каналом для активов в экосистеме Flow, deBridge не получил заблаговременного уведомления об откате.
Смирнов указал, что потенциальный ущерб от отката может far превысить первоначальную хакерскую атаку. Поскольку кросcчейн-активы уже циркулируют между несколькими системами, принудительный откат вызовет серьезные проблемы, такие как дублирование активов и несоответствие состояний хранения, и в конечном итоге пострадают мосты, пользователи и контрагенты, нормально работавшие в течение окна атаки. Он disclosed, что на deBridge около 200 000 долларов и 50 000 долларов депозитов попали в окно отката, и в случае выполнения отката это может привести к исчезновению средств на одной стороне или к крайним случаям повторного создания активов.
Учитывая эти риски, Смирнов призвал валидаторов Flow приостановить создание и проверку блоков до тех пор пока не будут четко определены схема компенсации, механизм координации с партнерами и план привлечения независимой команды безопасности. Подобные проблемы не единичны. Как основной хранитель USDC в сети Flow, LayerZero также столкнулся с риском кросcчейн-транзакций на сумму около 220 000 долларов и 180 000 долларов, попавших в окно отката.
Помимо партнеров по кросcчейн-мостам в экосистеме Flow, на платформе X пользователи начали массово выражать обеспокоенность безопасностью средств, разработчики questioned надежность сети в экстремальных ситуациях и механизмы управления, настроения инвесторов также стали осторожными, усилилось давление продаж. Много голосов прямо указывали на то, что сам откат exposed реальность централизованного контроля над цепью, и первоначальный технический инцидент быстро превратился в кризис доверия.
Некоторые точки зрения сообщества further направили критику на основные принципы блокчейна. Некоторые считают, что откат напрямую подрывает окончательность и неизменность транзакций, делая Flow в关键时刻 больше похожим на консорциумный блокчейн, которым можно управлять административно. Другие, сравнивая с историческими инцидентами безопасности других публичных блокчейнов, pointed out, что в подобных ситуациях обычно处理ляются путем изоляции адресов атакующих и заморозки потоков средств, а не глобальным откатом всего состояния сети.
Крипто-КОЛ Wazz(@WazzCrypto) на платформе X直言, что решение Flow об откате является одним из худших способов处理, которые он видел. По его мнению, злоумышленник уже перевел активы на сумму около 4 миллионов долларов из цепи и практически не пострадает от отката, а реальную цену заплатят невинные пользователи, нормально использовавшие сеть через кросcчейн-мосты.
Официальная позиция Flow изменилась: отказ от отката, принятие нового плана восстановления путем изоляции
Столкнувшись с strong反对 партнеров и сообщества, официальные лица Flow в конечном итоге решили отказаться от отката сети и перейти к «плану восстановления путем изоляции». Этот план был разработан в результате прямых консультаций с партнерами по кросcчейн-мостам, биржами и инфраструктурными партнерами, основные моменты включают:
- Без отката/реорганизации, сохранение всей законной активности пользователей;
- Партнерам не требуется повторно отправлять транзакции;
- Более 99.9% аккаунтов не受影响, нормальная работа после перезапуска;
- При перезапуске временно ограничить аккаунты, получившие незаконно созданные токены;
Кроме того, сеть будет восстановлена поэтапно:
- Первый этап: среда Cadence запущена, EVM временно ограничена;
- Второй этап: исправление Cadence (примерно от 24 до 48 часов);
- Третий этап: исправление и перезапуск EVM;
- Четвертый этап: восстановление работы кросcчейн-мостов/бирж, конкретное время восстановления операторы决定ят based на фактической ситуации после подтверждения стабильности.
Кроме того, команда Dapper Labs, стоящая behind Flow, на платформе X выразила поддержку этому плану, заявив, что он «сохраняет законную активность и предоставляет четкий путь восстановления».
Это «отказ от отката» в краткосрочной перспективе смягчило напряженность в экосистеме и избежало systemic рисков, которые мог вызвать откат. На данный момент сеть все еще находится в процессе поэтапной координации и восстановления, официальные лица заявляют, что средства пользователей остаются в безопасности.
В условиях высокой неопределенности на крипторынке этот кризис может стать важным watershed в пути развития Flow, его долгосрочное воздействие еще предстоит проверить временем.
