Flow 发布安全事件技术复盘报告：根本原因是 Cadence 运行中的类型混淆漏洞

ChainCatcher 消息，Flow 网络遭遇针对 Cadence 虚拟机类型混淆漏洞的攻击，导致代币非法增发。攻击者利用复杂的“三部分漏洞链”绕过资源线性保证，将资源对象伪装成结构体进行复制。事件造成约 390 万美元的实际经济损失，资金已通过 Celer、deBridge 等跨链桥流出。

据 Flow 监测，攻击者共制造了 879.6 亿枚 FLOW 及多种代币，其中 10.94 亿枚 FLOW 被转入中心化交易所。由于验证者及时停机并与 OKX、Gate.io、MEXC 等合作，约 98.7% 的非法资产已被冻结在链上或交易所，并已销毁约 4.84 亿枚 FLOW。网络已于 12 月 29 日通过“隔离恢复计划”恢复，目前已部署涵盖参数校验、运行时检查及合约部署逻辑的全面补丁。