Flow安全事件回顧：Cadence運行中的類型混淆漏洞為關鍵原因

事件概述

Flow 網絡於 2025 年 12 月底公開的攻擊回顧指出，攻擊者利用 Cadence VM 的類型混淆漏洞偽造代幣，透過跨鏈橋窃取約 390 萬美元。此次事件未影響現有用戶餘額，絕大多數偽造資產在清算前已被鏈上儲存或由交易所合作伙伴凍結。

攻擊者部署了超過 40 條惡意智慧合約，依序實施三段式攻擊：1)繞過附件導入驗證；2)繞過內建類型防禦檢查；3)利用合約初始化器語義漏洞。

根本原因是 Cadence 運行時（v1.8.8）中的類型混淆漏洞，該漏洞現已修復（v1.8.9 及以上版本）。此漏洞允許攻擊者將受保護的資產（本應不可複製）偽裝成可複製的標準資料結構，從而繞過運行時的安全檢查並實現代幣偽造。

除了將資產移出 Flow 外，攻擊者還嘗試在多家中心化交易所存入偽造的 FLOW；因異常交易規模與反洗錢規範，多家交易所在收到後凍結這些存款。約 50% 的伪造 FLOW 存款已被合作交易平台（如 OKX、Gate、MEXC）退回並銷毀，基金會仍在積極與其他交易平台協商。

Flow 基金會與網絡驗證者批准一項去中心化治理行動，授權永久銷毀所有伪造資產。網絡於 12 月 29 日恢復運行，所有交易歷史紀錄均已保存。