Flow 网络 390 万美元漏洞利用与险些发生的区块回滚:48 小时如何考验区块链的核心承诺
2025 年 12 月 27 日,一名攻击者利用 Flow 执行层的漏洞,铸造了 874 亿枚伪造代币,并在验证者采取紧急措施前,通过跨链桥提取了 390 万美元。随后发生的事情不仅是一次技术复盘——它演变成了区块链历史上最具启发性的治理危机之一,迫使行业直面自 2016 年以太坊 DAO 分叉以来一直回避的问题:当区块链崩溃时,谁有权重写历史?
攻击解构
Flow 的漏洞利用始于一个周五下午平静的异常。攻击者发现了 Flow 执行层的一个漏洞——执行层是负责处理交易和管理网络状态更改的组件。与典型的智能合约漏洞不同,这是一个协议层面的缺陷,允许攻击者凭空铸造代币。
这种破坏是手术式的。攻击者铸造了原生 FLOW 代币、封装比特币 (WBTC)、封装以太币 (WETH) 和稳定币��——所有这一切都没有触及任何现有用户的余额。根据链上分析师 Wazz 的说法,攻击模式看起来更像是私钥泄露,而非传统的智能合约利用,尽管 Flow 基金会将根本原因归结为执行层漏洞。
在几小时内,攻击者发行了大约 500 万枚 FLOW 并将其抛售,抽干了全网的流动性池。随后,被盗资产通过 Celer、deBridge、Relay 和 Stargate 等多个跨链桥进行转移,最后通过 Thorchain 和 Chainflip 进行洗钱,将资金分散到多个网络,使追回工作实际上变得不可能。
到验证者执行协同停机时,大约 390 万美元已完全离开了 Flow 生态系统。网络进入只读模式,冻结了所有进一步的活动,同时保留链上数据以进行取证分析。
引发行业风暴的回滚提案
接下来 48 小时内发生的事情证明比黑客攻击本身影响更为深远。
Flow 的核心开发者提议将网络恢复到漏洞利用之前的检查点——实际上是回滚大约 6 小时的交易。该窗口期内的每一笔交易、转账和智能合约交互都将被抹除。用户和基础设施提供商需要从头开始重新提交他们的活动。
逻辑似乎很简单:撤销损害、修补漏洞、重新干净地启动。但该提议立即在整个生态系统中引发了爆炸性的讨论。
deBridge 联合创始人 Alex Smirnov 告诉 The Block,他和其他跨链桥合作伙伴对该计划感到“措手不及”,因为之前没有收到来自 Flow 团队的任何沟通或协调。他称回滚是一个“仓促的决定”,并警告说“回滚造成的财务损失可能超过原始漏洞利用”。
Delphi Labs 总法律顾�问 Gabriel Shapiro 发表了更为尖锐的批评。他写道:“他们正在创建无抵押资产来遮羞,并期望跨链桥和发行方承担损失或执行各自的缓解措施。”Shapiro 认为,回滚会产生一个悖论:攻击者的被盗资金已经桥接到其他链,因此逆转 Flow 的历史无法追回一分钱。相反,它会抹除合法的跨链桥交易,导致跨链桥运营商持有的代币在 Flow 的账本上不再对应任何资产。
换句话说,回滚将惩罚除攻击者以外的所有人。
验证者被敦促停止回滚工作。社区的反弹迅速而明确。在最初提议发布后的两天内,Flow 基金会改变了方向。
“不会进行链重组”
12 月 29 日,Flow 基金会发布了与跨链桥运营商、交易所和验证者直接协商制定的修订版补救计划。公告非常明确:不会进行链重组。 在网络停机前提交的所有交易都将保持有效,不需要重新提交。
相反,基金会实施了所谓的“隔离恢复计划”。他们没有回滚整个链,而是仅针对非法铸造的代币。该方法包含三大支柱:
-
修补并重启。 验证者部署了 Mainnet 28,这是一个针对性的更新,消除了执行层漏洞。网络从停机前的最后一个密封区块重启,保留了所有合法的交易历史。
-
隔离并销毁。 受影响的钱包被冻结,伪造代币被系统地识别和隔离。2026 年 1 月 30 日,社区治理委员会执行了永久链上销毁 874 亿枚伪造 FLOW 代币的操作——完成了技术补救。
-
分阶段恢复 EVM。 恢复分为��多个阶段。第一阶段使 Cadence 链(Flow 的原生智能合约环境)恢复正常。第二阶段恢复了对以太坊应用的 EVM 兼容性。跨链桥和交易所在最终核实后才恢复服务。
这种方法的精确性——在保留合法活动的同时对欺诈资产进行手术式移除——与全面回滚这种笨拙的手段形成了鲜明对比。但它需要一些最初提议中明显缺乏的东西:与生态系统中的每一个利益相关者进行协调。
市场的裁决
市场并未等待细致的解决方案。FLOW 的代币价格在一天内暴跌超过 50%,在币安(Binance)上从约 0.17 美元跌至 0.079 美元的历史新低。作为 FLOW 关键流动性枢纽的韩国交易所暂时暂停了交易和转账。恐慌性抛售既残酷又无差别。
然而,后续情况呈现出一个更复杂的故事。在交易所独立审查并恢复了完整的 FLOW 服务后,该代币实现了 60% 的反弹,交易量在 24 小时内激增 640%,达到 1.75 亿美元。到 2026 年 3 月,币安与 Flow 基金会发布了联合决议声明,全球所有主要交易所均已将 FLOW 恢复至正常上市状态。
V 型复苏表明,市场最终奖励了 Flow 放弃回滚的决定。社区愿意拒绝简单的修补并要求更具原则性的解决方案,这可能挽救了网络的长远信誉——即使这让投资者经历了几周的不确定性。
DAO 分叉的阴影:为什么区块链回滚仍是“高压线”
Flow 的回滚争论并非凭空发生。它是在区块链历史上最具影响力的治理决策——2016 年以太坊 DAO 分叉的漫长阴影下展开的。
当一名黑客利用 The DAO 智能合约中的递归调用漏洞并抽走了 360 万枚 ETH(当时价值约 5000 万美元)时,以太坊社区面临着惊人相似的选择。2016 年 7 月 20 日,在第 192,000 个区块,以太坊执行了一次硬分叉,实际上撤销了黑客攻击,将资金退还给原始持有者。
这一决定将网络一分为二。以太坊(ETH)带着回滚继续前行。而由那些坚信“代码即法律”(code is law)的人所建立的以太坊经典(ETC),则保留了原始的、未经改动的链。这次分裂成为该行业的一个决定性哲学时刻,将实用主义与不可篡改性之间的紧张关系具体化为两条相互竞争的区块链。
令人瞩目的是,在近十年后,DAO 分叉如何彻底地奠定了先例。自那以后,没有任何主流区块链尝试过类似的回滚。当 Bybit 在 2025 年初遭受 14 亿美元的黑客攻击时,以太坊社区立即否决了任何关于链重组的讨论。社会共识已经固化:对于成熟的网络来说,不可篡改性是不可逾越的底线。
Flow 尝试回滚及其迅速放弃,强化了这一规范,而非挑战它。但它也暴露了一个关键差距:规模较小、去中心化程度较低的网络在遭受攻击时,仍可能倾向于动用回滚杠杆。区别在于生态系统是否拥有足以抵制这种倾向的治理成熟度。
Flow 危机揭示了区块链治理的哪些真相
Flow 事件揭示了区块链在危机中实际运作的几个令人不安的真相:
压力之下显露的中心化。 Flow 最初之所以能提出回滚建议,是因为该网络的验证者集合相对集中。在像以太坊这样拥有成千上万独立验证者的网络上,这种协调一致的回滚在技术和社会层面都是不可行的。回滚提议本身的存在,揭示了 Flow 的去中心化愿景与其运营现实之间的差距。
跨链桥运营商成为新的制衡力量。 deBridge 和 LayerZero 的公开反对不仅仅是批评,更是一种否决。跨链桥已深度融入区块链基础设施,以至于任何 L1 链都无法在不产生级联影响的情况下单方面重写其历史。跨链桥运营商现在成为了 L1 决策事实上的治理约束。
速度扼杀治理。 从攻击发生到回滚提议再到社区逆转的 48 小时时间线极其紧凑。良好的治理需要深思熟虑、利益相关者咨询和透明沟通——而在最初的回滚公告发布之前,这些都没有发生。合作伙伴“措手不及”的反应既是沟通的失败,也是治理的失败。
代币销毁是一种可行的替代方案。 Flow 的孤立恢复计划——识别、隔离并销毁 874 亿枚伪造代币,同时保留合法交易——证明了在不回滚链的情况下进行精确补救是可能的。这一方案可能比事件本身更具影响力,为未来的网络提供了一个既尊重不可篡改性又能应对攻击的模板。
不可篡改性的光谱
加密行业喜欢将不可篡改性视为二元对立:区块链的历史要么是神圣不可侵犯的,要么不是。Flow 的危机表明现实更加微妙。
实际上,区块链的不可篡改性存在于一个光谱上。一端是比特币,在那里即使讨论回滚也会被视为异端。另一端是更新、更小的网络,在那里少数验证者理论上可以在社区察觉之前撤销交易。大多数区块链处于两者之间——而其在光谱上的确切位置,并非由白皮书或营销材料揭示,而是由当某个周五下午损失 390 万美元时所发生的事情决定的。
Flow 在 48 小时内从回滚提议转为孤立恢复,表明该行业的免疫系统正在发挥作用。DAO 分叉建立了抗体。十年的治理演进教会了社区,承担黑客攻击带来的短期痛苦,几乎总是优于重写历史所造成的长期损害。
但考验还会再次降临。总是如此。问题在于,下一个面临考验的网络是否拥有足够的治理基础设施——以及谦逊——在行动之前先倾听。
BlockEden.xyz 提供企业级区块链 API 基础设施,具有实时监控和跨多条链的高可用节点访问。对于构建依赖可靠、不可篡改数据的跨链应用程序的团队,探索我们的 API 市场,在为弹性而设计的基础设施上进行构建。