BitcoinWorld
Fluid Kehilangan $215.000 dalam Eksploitasi Sistem Reward Setelah Kunci Terkompromi
Protokol keuangan terdesentralisasi Fluid telah kehilangan sekitar $215.000 setelah sistem distribusi reward berbasis Ethereum‑nya dieksploitasi awal minggu ini, menurut laporan dari platform intelijen risiko DeFi BlackHart. Insiden tersebut berasal dari kunci operasional yang dikompromikan, bukan dari kelemahan pada kode kontrak pintar yang mendasarinya.
Bagaimana Eksploitasi Terjadi Penyerang memperoleh kontrol atas dua kunci operasional yang digunakan untuk membuat dan menyetujui daftar reward dalam protokol. Dengan akses ini, mereka mendaftarkan dan menyetujui sebuah daftar reward yang mengarahkan semua distribusi ke satu alamat yang berada di bawah kendali mereka. Dana kemudian diklaim dan segera dipindahkan. Fluid mengonfirmasi bahwa eksploitasi tersebut tidak memengaruhi pasar pinjaman, vault, pertukaran terdesentralisasi, atau deposit pengguna.
Aset yang dicuri meliputi 112.883 token FLUID, 47.903 GHO, dan sejumlah kecil cbBTC. Penyerang menukarkan aset‑aset ini menjadi Ether dan mentransfer hasilnya melalui Tornado Cash, sebuah alat privasi yang umum digunakan untuk mengaburkan jejak transaksi.
Tanggapan dan Perbaikan Fluid menyatakan bahwa mereka telah mengganti kunci yang terkompromi dan memindahkan sisa dana reward ke alamat yang aman. Proyek menekankan bahwa insiden tersebut terbatas pada sistem distribusi reward dan fungsi inti protokol tetap beroperasi. Eksploitasi ini menyoroti kerentanan yang terus ada di DeFi: keamanan infrastruktur operasional off‑chain.
Mengapa Ini Penting bagi Pengguna DeFi Walaupun audit kontrak pintar adalah praktik standar, insiden Fluid menegaskan bahwa manajemen kunci sama pentingnya. Kunci administratif yang terkompromi dapat melewati bahkan kode yang telah diaudit secara ketat. Bagi pengguna, peristiwa ini memperkuat pentingnya protokol yang menerapkan tata kelola multi‑signature, time‑lock, dan manajemen kunci terdesentralisasi untuk mengurangi titik kegagalan tunggal.
Penggunaan Tornado Cash untuk mencuci dana yang dicuri juga menarik kembali perhatian pada pengawasan regulasi terhadap alat privasi, terutama setelah sanksi AS terhadap platform tersebut pada tahun 2022. Insiden ini mungkin memicu diskusi lebih lanjut tentang bagaimana protokol DeFi dapat menyeimbangkan transparansi dengan keamanan operasional.
Kesimpulan Eksploitasi Fluid menjadi pengingat bahwa keamanan DeFi melampaui audit kontrak pintar. Seiring industri matang, praktik manajemen kunci dan keamanan operasional yang kuat akan menjadi esensial untuk mempertahankan kepercayaan pengguna dan mencegah pelanggaran serupa. Fluid telah mengambil tindakan korektif segera, namun insiden ini menambah daftar serangan yang menargetkan infrastruktur administratif daripada kerentanan kode.
FAQ Q1: Apakah eksploitasi Fluid disebabkan oleh bug kontrak pintar? Tidak. Penyerang mengompromikan dua kunci operasional yang digunakan untuk membuat dan menyetujui daftar reward, bukan kerentanan pada kode kontrak pintar itu sendiri.
Q2: Apakah deposit pengguna atau pasar pinjaman terpengaruh? Fluid mengonfirmasi bahwa pasar pinjamannya, vault, DEX, dan deposit pengguna tidak terpengaruh. Hanya sistem distribusi reward yang dieksploitasi.
Q3: Bagaimana penyerang mencuci dana yang dicuri? Penyerang menukarkan aset yang dicuri menjadi Ether dan mentransfernya melalui Tornado Cash, sebuah mixer privasi yang menyamarkan jejak transaksi.
Posting ini Fluid Kehilangan $215.000 dalam Eksploitasi Sistem Reward Setelah Kunci Terkompromi pertama kali muncul di BitcoinWorld.