Flow区块链计划在周日重启,此前验证者会将网络的交易历史回滚到重启前的某个检查点。390万美元漏洞此事发生在周五晚些时候,但撤销账本的决定没有与关键生态系统合作伙伴协调,这引发了跨链桥运营商的强烈反对。
Alex Smirnov,deBridge联合创始人,deBridge是支持Flow的最大桥接提供商之一。X 说他的团队在决定回滚之前没有收到任何事先通知。
Smirnov写道:“Flow团队决定回滚区块链,并声称正与关键生态系统合作伙伴进行强制同步。作为Flow的主要桥接提供商之一,deBridge没有收到Flow团队的任何沟通或协调,这构成了重大风险。”
针对The Block的书面提问,Smirnov表示,在他公开批评Flow团队后,他们最终确实联系了他,但仍然坚持回滚方案。“当时,他们仍然倾向于进行回滚,”他说道。“我们那次讨论的主要目的是了解,鉴于攻击者已经将资金从Flow转移出去,他们认为回滚能够解决什么问题。”
回滚还是彻底分叉?
斯米尔诺夫认为,回滚操作会惩罚无辜的人。“在我们看来,现阶段的回滚操作不会影响攻击者,反而会影响在回滚期间诚实行事的无辜用户、流动性提供者和生态系统合作伙伴,这可能会加剧整体损失。”他说道。
批评之声不仅限于桥接运营商。斯米尔诺夫告诉The Block,deBridge主动联系了一家FLOW交易的大型中心化交易所,该交易所“确认他们并不知晓此次回滚计划,也未收到任何事先通知”。他拒绝透露该交易所的名称。
斯米尔诺夫表示:“这种缺乏协调的情况非常严重,因为它导致在回滚窗口期间如何处理存款和取款存在不确定性,可能会使交易所遭受损失。”
斯米尔诺夫表示,deBridge 和另一个主要的跨链协议 LayerZero 现在正携手推动一种替代方案:通过硬分叉来修复底层漏洞,并将从该漏洞中收到资金的地址列入黑名单,而不是撤销整个账本。
斯米尔诺夫指出,“对于面临此类事件的L1层来说,唯一可行的方案就是进行有针对性的硬分叉,修复漏洞并限制非法资金流入。”BNB Chain 也处理过类似的事件。过去,“我们与 LayerZero 的观点一致,认为通过硬分叉来解决漏洞,而不是回滚,才是最佳的解决途径。”
斯米尔诺夫表示,由于 deBridge 采用“零总保证金、非托管设计”,因此自身不存在任何财务风险,但他强调了更广泛的生态系统风险。“我们担心的不是 deBridge 的资产负债表,而是如何防止连锁损失波及到生态系统合作伙伴、流动性提供者以及与此次漏洞攻击无关的用户,”他说道。
他还补充说,deBridge 正在鼓励 Flow 建立一个“作战室”,让桥梁公司、资产托管人、中央交易所和 Seal911 等安全组织参与协作讨论,以找出最佳的前进方向。
“我们正在延长协调窗口期,以考虑到各个网络合作伙伴,”Flow基金会表示。X 帖子周日早上,在斯米尔诺夫最初发布 X 帖子之前,“在所有合作伙伴同步完成之前恢复数据摄取可能会导致数据不一致或用户服务中断。”
流程未达到更新帖子的目标
Flow基金会曾承诺团队原定于太平洋标准时间早上7点发布另一份更新报告,但显然错过了这个最后期限。基金会没有回复The Block多次提出的置评请求。
Flow 基金会于 12 月 27 日确认了此次漏洞利用,并表示攻击者利用了网络执行层的一个漏洞。安全专家 Taylor Monahan 告诉 The Block,攻击者能够“铸造原生代币 FLOW 以及其他桥接代币,例如 WBTC、WETH 和稳定币”。链上分析师 Wazz 认为,此次攻击模式更符合私钥泄露的特征,而非智能合约漏洞。
在其复苏公告Flow基金会表示,网络将“恢复到漏洞利用之前的检查点”,受影响期间提交的所有交易将不会被保留,必须重新提交。该团队承诺在72小时内发布技术分析报告。
据报道,在漏洞披露后,FLOW 代币价格暴跌超过 40%,从约 0.17 美元跌至 0.079 美元的低点,之后稳定在 0.10 美元左右。区块流量价格页面目前该代币的交易价格约为 0.11 美元。漏洞利用发生后,韩国交易所 Upbit、Bithumb 和 Coinone 暂停了充值和提现,而数字资产交易所联盟也发布了正式的交易风险警告。
发表评论 取消回复