BitcoinWorld
Fluid pierde $215,000 en un exploit del sistema de recompensas tras compromiso de claves
El protocolo de finanzas descentralizadas Fluid ha perdido aproximadamente $215,000 después de que su sistema de distribución de recompensas basado en Ethereum fuera explotado a principios de esta semana, según un informe de la plataforma de inteligencia de riesgos DeFi BlackHart. El incidente se originó por claves operativas comprometidas y no por una falla en el código del contrato inteligente subyacente.
Cómo se desarrolló el exploit El atacante tomó control de dos claves operativas usadas para crear y aprobar listas de recompensas dentro del protocolo. Con ese acceso, registró y aprobó una lista de recompensas que dirigía todas las distribuciones a una única dirección bajo su control. Los fondos fueron reclamados y rápidamente trasladados. Fluid confirmó que el exploit no afectó sus mercados de préstamos, bóvedas, intercambio descentralizado ni los depósitos de los usuarios.
Los activos robados incluían 112,883 tokens FLUID, 47,903 GHO y una pequeña cantidad de cbBTC. El atacante intercambió estos activos por Ether y transfirió el producto a través de Tornado Cash, una herramienta de privacidad comúnmente usada para ofuscar rastros de transacciones.
Respuesta y remediación Fluid declaró que ha reemplazado las claves comprometidas y ha trasladado los fondos de recompensa restantes a una dirección segura. El proyecto enfatizó que el incidente quedó contenido al sistema de distribución de recompensas y que las funciones centrales del protocolo siguen operativas. El exploit subraya una vulnerabilidad persistente en DeFi: la seguridad de la infraestructura operativa fuera de cadena.
Por qué esto es importante para los usuarios de DeFi Si bien las auditorías de contratos inteligentes son una práctica estándar, el caso de Fluid destaca que la gestión de claves es igualmente crítica. Las claves administrativas comprometidas pueden eludir incluso el código más rigurosamente auditado. Para los usuarios, este evento refuerza la importancia de protocolos que empleen gobernanza multi‑firma, bloqueos temporales y gestión descentralizada de claves para reducir puntos únicos de falla.
El uso de Tornado Cash para lavar los fondos robados también vuelve a poner el foco en la vigilancia regulatoria sobre herramientas de privacidad, especialmente después de las sanciones de EE. UU. contra la plataforma en 2022. El incidente podría impulsar una mayor discusión sobre cómo los protocolos DeFi pueden equilibrar la transparencia con la seguridad operativa.
Conclusión El exploit de Fluid sirve como recordatorio de que la seguridad en DeFi va más allá de las auditorías de contratos inteligentes. A medida que la industria madura, las prácticas robustas de gestión de claves y seguridad operativa serán esenciales para mantener la confianza de los usuarios y prevenir brechas similares. Fluid tomó medidas correctivas inmediatas, pero el incidente se suma a una lista creciente de ataques que apuntan a la infraestructura administrativa en lugar de vulnerabilidades de código.
Preguntas frecuentes Q1: ¿El exploit de Fluid fue causado por un error en el contrato inteligente? No. El atacante comprometió dos claves operativas usadas para crear y aprobar listas de recompensas, no una vulnerabilidad en el código del contrato inteligente.
Q2: ¿Se vieron afectados los depósitos de usuarios o los mercados de préstamos? Fluid confirmó que sus mercados de préstamos, bóvedas, DEX y los depósitos de los usuarios no fueron impactados. Sólo se explotó el sistema de distribución de recompensas.
Q3: ¿Cómo lavó el atacante los fondos robados? El atacante intercambió los activos robados por Ether y los transfirió a través de Tornado Cash, un mezclador de privacidad que oculta los rastros de transacciones.
This post Fluid pierde $215,000 en un exploit del sistema de recompensas tras compromiso de claves first appeared on BitcoinWorld.