免责声明：金色财经所有资讯仅代表作者个人观点，不构成任何投资理财建议。请确保访问网址为（jinse.com.cn）举报

FLOW大跌40% 发生了什么？

金色财经

刚刚

邓通，金色财经

2025年12月27日，因安全漏洞问题，FLOW急速下跌，跌幅超40%。截至发稿，FLOW价格依旧不甚乐观，报0.1039美元，7天跌幅39.7%。

本文回顾Flow被攻击事件，Flow的最终补救方案是什么？为何最终放弃了回滚？加密史上有哪些回滚案例？

一、多方反应

1.Flow官方

在事件发生之初，Flow官方在X平台发文宣布，Flow基金会目前正在调查可能影响Flow网络的安全事件，目前工程团队正与网络合作伙伴积极协作以缓解问题影响，并且将尽快提供经核实的最新信息。

2.交易所

Bithumb宣布由于FLOW系统维护，将于2025年12月27日星期日晚上9点暂时中止FLOW存款和取款。

Upbit发布公告称，因Flow（FLOW）主网出现安全事故迹象，已于12月27日起临时暂停FLOW的充值与提现，作为用户保护措施，恢复时间将另行通知。

韩国数字资产交易所联合体（DAXA）决定对FLOW发布交易风险提示。DAXA表示，已确认Flow主网存在安全问题迹象，后续不排除根据调查进展采取交易注意标的指定或终止交易支持等进一步措施。

12月29日，Upbit发布公告：FLOW被指定为谨慎交易的项目期限为韩国标准时间2025年12月29日星期一14:00至2026年1月14日星期三23:59。

二、攻击类型及经济损失

12月28日，Flow官方在X平台发文表示，攻击者利用Flow执行层漏洞在网络停机前转移约390万美元资产。此次攻击未访问用户现有余额，所有用户存款安全。目前约390万美元资金主要通过Celer、Debridge、Relay、Stargate等桥接器流出，攻击者钱包已被识别并标记，其通过Thorchain和Chainflip进行的洗钱活动正被实时追踪。Flow基金会已向Circle、Tether及主流交易所提交冻结请求。目前网络已停止运行以切断所有出口路径，修复方案正在进行最终验证。目标重启时间为4至6小时内，具体取决于测试网验证结果。FindLabs正发布包含交易哈希和攻击者以太坊钱包地址的取证数据。

安全专家 Taylor Monahan 指出：攻击者能够“铸造原生代币 FLOW 以及其他桥接代币，例如 WBTC、WETH 和稳定币”。

链上分析师 Wazz 认为，此次攻击模式更符合私钥泄露的特征，而非智能合约漏洞。

三、Flow的最终补救方案：放弃回滚

12月28日，Flow在X平台发文表示，为了维护网络完整性并优先考虑用户安全，Flow基金会提出的一项协议修复方案（Mainnet28）已被网络验证者接受并成功部署，目前已开始生成区块，但一般交易接收仍处于暂停状态，在全面恢复运营之前必须与关键生态系统合作伙伴（桥接器、中心化交易所和去中心化交易所）进行强制同步，确保内部系统与Flow账本的恢复状态完全同步。

12月29日，Flow.com于X平台发文称，Flow基金会已联合生态合作伙伴制定修订后的补救方案。该方案是在与跨链桥运营商、交易所及基础设施合作伙伴直接磋商后敲定的。网络重启后，作为预防性措施，所有被识别为欺诈铸造代币接收方的账户将被临时限制权限。Flow基金会正联合独立区块链取证机构，核实此次漏洞攻击相关的具体代币类型及数量。Flow核心开发团队将向节点运营商提议一项软件升级。该升级将暂时授权社区治理委员会处理欺诈资产，且需获得独立节点运营商的自愿采纳——无任何单一实体可单方面采取行动。验证节点达成共识后，将按以下步骤执行：受攻击者分发攻击影响的账户将被临时限制权限通过独立取证分析锁定并核实受影响账户欺诈代币将通过透明、可审计的链上交易销毁每个完成补救的账户将立即恢复全部访问权限方案执行完毕后，后续升级将撤销所有临时提升的权限。

随后，Flow官方对攻击事件进行更新，表示放弃网络回滚，转向“隔离恢复计划”。新方案要点包括：1、无回滚/重组，保留所有合法用户活动；2、无需伙伴重放交易；3、超99.9%账户不受影响，重启即正常运营；4、重启时，临时限制接收非法铸造代币的账户；此外，网络将分阶段恢复，第一阶段，Cadence环境上线，EVM暂时受限；第二阶段，Cadence修复（约24-48小时）；第三阶段，EVM修复并重启；第四阶段，跨链桥/交易所恢复通行，具体恢复时间由运营方根据实际情况在确认稳定性后决定。

截至发稿，Flow官方再次发布攻击事件更新：验证者共识已达成，接受拟议的软件升级方案，网络目前正进入修复和测试阶段。Flow网络已上线并开始生成区块，但由于需要验证和测试补救协议，一般交易接收仍处于暂停状态。太平洋时间早上6点，网络将作为Flow网络恢复计划第一阶段的一部分开放，Cadence环境开放操作，受攻击者投毒攻击影响的账户仍暂时受限，EVM环境暂时受限（只读）。超过99.9%的Cadence账户将在此次过渡期间恢复全部功能。

四、关于回滚方案的争议

12月29日，deBridge创始人Alex Smirnov呼吁Flow区块链上的验证者暂停处理交易，直到Flow基金会就其备受争议的链回滚事件制定出针对受影响用户的补救方案。

deBridge是Flow主要的跨链桥服务提供方之一。Smirnov呼吁Flow方面明确说明，如何处理在回滚窗口期内跨链转出资产、从而导致余额被“翻倍”的用户问题。

在回滚争议爆发后，Flow基金会发布更新声明称，他们制定了一项“修订后的补救计划”，该计划“无需网络回滚”，并能保护“合法用户活动”。

区块链发行方Dapper Labs表示，他们已审查并支持最新的恢复计划：“修订后的方案能够保护所有合法用户活动——这意味着无需回滚——并为恢复网络运行提供了清晰的路径。”

回滚之所以备受争议，是因为它会撤销已确认的交易，导致用户账户余额出现不确定性，同时削弱了人们对网络去中心化和安全性的信心。

Smirnov 猛烈抨击了这一“仓促的决定”，“Flow团队决定回滚区块链，并声称正与关键生态系统合作伙伴进行强制同步。作为Flow的主要桥接提供商之一，deBridge没有收到Flow团队的任何沟通或协调，这构成了重大风险。回滚操作会引入系统性问题，影响到在受影响期间诚实行事的桥接、托管人、用户和交易对手。”

deBridge曾主动联系了一家FLOW交易的大型中心化交易所，该交易所“确认他们并不知晓此次回滚计划，也未收到任何事先通知”。

加密货币投资公司 Delphi Labs 的总法律顾问 Gabriel Shapiro 也抨击了 Flow 的解决方案，他表示： “他们正在创建无担保资产来掩盖自己的过错，并期望桥接和发行人承担损失或进行他们自己的单独缓解措施。”

注：Flow由 Dapper Labs于 2020 年推出，该团队从 Andreessen “a16z” Horowitz 和 Union Square Ventures 等机构获得了7.25 亿美元的资金，以推进生态系统的发展。但Flow 的表现可以说低于预期，区块链上锁定的价值仅为8550 万美元，而 FLOW 的市值也跌出了前 300 名，仅为 1.673 亿美元。

五、什么是回滚？适用于哪些场景？有哪些回滚案例？

1.什么是回滚

回滚是指将区块链账本从当前的最新状态，恢复到历史上某一特定区块高度状态的操作，本质是撤销该特定区块之后的所有交易记录与区块生成行为，让链上数据回到之前的某个 “快照” 节点。回滚操作的核心是断开后续区块的哈希关联，并将全节点的账本数据重置到目标区块高度，相当于让区块链 “时光倒流”。

2.适用场景

重大安全事件

2016 年以太坊The DAO 事件，黑客利用智能合约漏洞盗取约 5000 万美元 ETH，以太坊社群通过硬分叉回滚相关交易，由此分裂出以太坊（ETH）和以太经典（ETC）。

2018年5月，比特币黄金（BTG）51% 攻击，攻击者掌控 BTG 超 51% 算力，实施双花攻击，盗取约 1860 万美元代币。

修复致命技术漏洞

若区块链协议存在严重 BUG（如共识机制缺陷、区块打包规则错误），导致区块无法正常生成、交易无法确认，技术团队会通过回滚到漏洞出现前的区块，修复漏洞后重新打包区块。

2018年，比特现金（BCH）ABC 0.17.0 及以下版本存在交易验证漏洞，攻击者可构造恶意交易导致网络分叉，部分节点拒绝打包区块。开发团队紧急发布补丁，矿工回滚到漏洞出现前的区块高度，升级客户端后重新打包区块，未引发硬分叉，是区块链协议漏洞修复的典型合规案例。

社群共识驱动的调整

在去中心化区块链中，回滚必须获得绝大多数节点的共识才能执行。如果某笔交易引发社群强烈争议（如违规大额转账、恶意操纵市场），社群可通过投票达成共识，发起回滚操作。

2022年，Terra 链算法稳定币 UST 脱钩，导致 LUNA 币价崩盘，用户损失超 400 亿美元，社群对是否回滚早期错误交易争议巨大。经多次投票，因社群未达成全节点共识，最终未执行回滚，仅通过链上治理启动新链 Terra 2.0，对旧链资产进行快照空投。这也是去中心化公链中 “共识门槛” 对回滚的严格约束的案例。