BitcoinWorld
Fluid、キー漏洩後に報酬システムのエクスプロイトで21万5千ドルを失う
分散型金融プロトコルFluidは、Ethereumベースの報酬分配システムが今週初めに悪用されたことにより、約21万5千ドルを失ったと、DeFiリスクインテリジェンスプラットフォームBlackHartの報告が伝えている。このインシデントは、基盤となるスマートコントラクトコードの欠陥ではなく、運用キーが侵害されたことが原因である。
エクスプロイトの経緯 攻撃者は、プロトコル内で報酬リストを作成・承認するために使用される2つの運用キーを取得した。このアクセスを利用して、すべての分配先を攻撃者が管理する単一アドレスに指定した報酬リストを登録・承認した。その後、資金が請求され、すぐに移動された。Fluidは、今回のエクスプロイトが貸付市場、ボールト、分散型取引所、ユーザー預金には影響しなかったことを確認している。
盗まれた資産は、112,883 FLUIDトークン、47,903 GHO、そして少量のcbBTCを含む。攻撃者はこれらの資産をEtherにスワップし、プライバシーツールであるTornado Cashを通じて送金し、取引履歴を隠蔽した。
対応と是正措置 Fluidは、侵害されたキーを交換し、残りの報酬資金を安全なアドレスへ移動したと述べている。プロジェクトは、インシデントが報酬分配システムに限定されており、コアプロトコル機能は引き続き稼働していることを強調した。このエクスプロイトは、DeFiにおける永続的な脆弱性であるオフチェーンの運用インフラのセキュリティ問題を浮き彫りにしている。
DeFiユーザーにとっての重要性 スマートコントラクトの監査は標準的な慣行である一方、Fluid事件はキー管理の重要性も同等であることを示している。管理キーが侵害されると、最も厳格に監査されたコードさえも回避できてしまう。ユーザーにとっては、マルチシグガバナンス、タイムロック、分散型キー管理など、単一障害点を減らす仕組みを採用したプロトコルの重要性が再認識される。
盗まれた資金の洗浄にTornado Cashが使用されたことは、特に2022年の米国制裁以降、プライバシーツールに対する規制当局の関心が再び高まっていることを示す。今回のインシデントは、DeFiプロトコルが透明性と運用セキュリティのバランスをどう取るかについて、さらなる議論を呼び起こす可能性がある。
結論 Fluidのエクスプロイトは、DeFiのセキュリティがスマートコントラクトの監査だけに留まらないことを思い起こさせる。業界が成熟するにつれ、堅牢なキー管理と運用セキュリティの実践が、ユーザーの信頼を維持し、同様の侵害を防止するために不可欠となるだろう。Fluidは直ちに是正措置を講じたが、このインシデントはコードの脆弱性ではなく管理インフラを標的とした攻撃が増加していることを示す事例の一つである。
FAQ Q1: Fluidのエクスプロイトはスマートコントラクトのバグが原因ですか? いいえ。攻撃者は報酬リストを作成・承認するために使用される2つの運用キーを侵害しただけで、スマートコントラクトコード自体の脆弱性は関与していません。
Q2: ユーザーの預金や貸付市場は影響を受けましたか? Fluidは、貸付市場、ボールト、DEX、ユーザー預金は影響を受けていないと確認している。影響を受けたのは報酬分配システムのみである。
Q3: 攻撃者は盗まれた資金をどのように洗浄したのですか? 攻撃者は盗まれた資産をEtherにスワップし、プライバシーミキサーであるTornado Cashを通じて送金し、取引履歴を隠蔽した。
This post Fluid、キー漏洩後に報酬システムのエクスプロイトで21万5千ドルを失う first appeared on BitcoinWorld.