BitcoinWorld
Fluid verliert 215.000 $ bei Ausnutzung des Belohnungssystems nach Schlüsselkompromittierung
Das dezentralisierte Finanzprotokoll Fluid hat etwa 215.000 $ verloren, nachdem sein auf Ethereum basierendes Belohnungs‑Verteilungssystem Anfang dieser Woche ausgenutzt wurde, wie ein Bericht der DeFi‑Risikointelligenzplattform BlackHart zeigt. Der Vorfall resultierte aus kompromittierten operativen Schlüsseln und nicht aus einem Fehler im zugrunde liegenden Smart‑Contract‑Code.
Wie die Ausnutzung ablief Der Angreifer erlangte die Kontrolle über zwei operative Schlüssel, die zur Erstellung und Genehmigung von Belohnungslisten innerhalb des Protokolls verwendet werden. Mit diesem Zugriff registrierte und genehmigte er eine Belohnungsliste, die alle Auszahlungen an eine einzige von ihm kontrollierte Adresse leitete. Die Mittel wurden anschließend beansprucht und schnell weitergeleitet. Fluid bestätigte, dass die Ausnutzung seine Kreditmärkte, Tresore, den dezentralen Austausch oder Nutzer‑Einlagen nicht betroffen hat.
Zu den gestohlenen Vermögenswerten gehörten 112.883 FLUID‑Token, 47.903 GHO und eine kleine Menge cbBTC. Der Angreifer tauschte diese Vermögenswerte gegen Ether und übertrug die Erlöse über Tornado Cash, ein Datenschutz‑Tool, das häufig zur Verschleierung von Transaktionsspuren verwendet wird.
Reaktion und Abhilfe Fluid erklärte, dass die kompromittierten Schlüssel ersetzt und die verbleibenden Belohnungs‑Fonds an eine sichere Adresse transferiert wurden. Das Projekt betonte, dass der Vorfall auf das Belohnungs‑Verteilungssystem beschränkt war und die Kernfunktionen des Protokolls weiterhin betriebsbereit sind. Die Ausnutzung verdeutlicht eine anhaltende Schwachstelle im DeFi‑Umfeld: die Sicherheit der Off‑Chain‑Infrastruktur.
Warum das für DeFi‑Nutzer wichtig ist Während Smart‑Contract‑Audits zum Standard gehören, unterstreicht der Fluid‑Vorfall, dass das Schlüsselmanagement ebenso kritisch ist. Kompromittierte Administrationsschlüssel können selbst den gründlichsten Code‑Audits entgehen. Für Nutzer betont dieses Ereignis die Bedeutung von Protokollen, die Multi‑Signature‑Governance, Zeitverriegelungen und dezentrales Schlüsselmanagement einsetzen, um einzelne Ausfallpunkte zu reduzieren.
Der Einsatz von Tornado Cash zur Geldwäsche der gestohlenen Mittel lenkt erneut die regulatorische Aufmerksamkeit auf Datenschutz‑Tools, insbesondere nach den US‑Sanktionen gegen die Plattform im Jahr 2022. Der Vorfall könnte weitere Diskussionen darüber anstoßen, wie DeFi‑Protokolle Transparenz und operative Sicherheit in Einklang bringen können.
Fazit Die Fluid‑Ausnutzung erinnert daran, dass DeFi‑Sicherheit über Smart‑Contract‑Audits hinausgeht. Mit zunehmender Reife der Branche werden robuste Schlüssel‑ und Betriebs‑Sicherheitspraktiken entscheidend sein, um das Vertrauen der Nutzer zu erhalten und ähnliche Angriffe zu verhindern. Fluid hat sofortige Korrekturmaßnahmen ergriffen, doch der Vorfall erweitert die wachsende Liste von Angriffen, die administrative Infrastruktur statt Code‑Schwachstellen ins Visier nehmen.
FAQ Q1: Wurde die Fluid‑Ausnutzung durch einen Smart‑Contract‑Fehler verursacht? Nein. Der Angreifer hat zwei operative Schlüssel kompromittiert, die zur Erstellung und Genehmigung von Belohnungslisten verwendet werden, nicht eine Schwachstelle im Smart‑Contract‑Code selbst.
Q2: Wurden Nutzer‑Einlagen oder Kreditmärkte beeinträchtigt? Fluid bestätigte, dass seine Kreditmärkte, Tresore, DEX und Nutzer‑Einlagen nicht betroffen waren. Nur das Belohnungs‑Verteilungssystem wurde ausgenutzt.
Q3: Wie hat der Angreifer die gestohlenen Mittel gewaschen? Der Angreifer hat die gestohlenen Vermögenswerte in Ether getauscht und sie über Tornado Cash, einen Privacy‑Mixer, der Transaktionsspuren verschleiert, transferiert.
Dieser Beitrag Fluid verliert 215.000 $ bei Ausnutzung des Belohnungssystems nach Schlüsselkompromittierung erschien zuerst auf BitcoinWorld.