BitcoinWorld
Fluid perde US$ 215.000 em exploração do sistema de recompensas após comprometimento de chave
O protocolo de finanças descentralizadas Fluid perdeu aproximadamente US$ 215.000 depois que seu sistema de distribuição de recompensas baseado em Ethereum foi explorado no início desta semana, de acordo com um relatório da plataforma de inteligência de risco DeFi BlackHart. O incidente decorreu de chaves operacionais comprometidas, e não de uma falha no código do contrato inteligente subjacente.
Como a exploração ocorreu O atacante obteve controle de duas chaves operacionais usadas para criar e aprovar listas de recompensas dentro do protocolo. Com esse acesso, ele registrou e aprovou uma lista de recompensas que direcionava todas as distribuições para um único endereço sob seu controle. Os fundos foram então reivindicados e rapidamente transferidos. A Fluid confirmou que a exploração não afetou seus mercados de empréstimo, cofres, exchange descentralizada ou depósitos dos usuários.
Os ativos roubados incluíram 112.883 tokens FLUID, 47.903 GHO e uma pequena quantidade de cbBTC. O atacante trocou esses ativos por Ether e transferiu o produto através do Tornado Cash, uma ferramenta de privacidade comumente usada para ofuscar trilhas de transação.
Resposta e remediação A Fluid afirmou que substituiu as chaves comprometidas e moveu os fundos de recompensa restantes para um endereço seguro. O projeto enfatizou que o incidente ficou restrito ao sistema de distribuição de recompensas e que as funções principais do protocolo permanecem operacionais. A exploração destaca uma vulnerabilidade persistente no DeFi: a segurança da infraestrutura operacional off‑chain.
Por que isso importa para os usuários de DeFi Embora auditorias de contratos inteligentes sejam prática padrão, o caso da Fluid ressalta que a gestão de chaves é igualmente crítica. Chaves administrativas comprometidas podem contornar até o código mais rigorosamente auditado. Para os usuários, esse evento reforça a importância de protocolos que utilizam governança multi‑assinatura, time‑locks e gerenciamento descentralizado de chaves para reduzir pontos únicos de falha.
O uso do Tornado Cash para lavar os fundos roubados também traz novamente a atenção para o escrutínio regulatório sobre ferramentas de privacidade, especialmente após as sanções dos EUA contra a plataforma em 2022. O incidente pode estimular discussões sobre como os protocolos DeFi podem equilibrar transparência com segurança operacional.
Conclusão A exploração da Fluid serve como lembrete de que a segurança no DeFi vai além das auditorias de contratos inteligentes. À medida que o setor amadurece, práticas robustas de gerenciamento de chaves e segurança operacional serão essenciais para manter a confiança dos usuários e prevenir violações semelhantes. A Fluid tomou medidas corretivas imediatas, mas o incidente se soma a uma lista crescente de ataques que visam a infraestrutura administrativa em vez de vulnerabilidades de código.
Perguntas frequentes Q1: A exploração da Fluid foi causada por um bug no contrato inteligente? Não. O atacante comprometeu duas chaves operacionais usadas para criar e aprovar listas de recompensas, não uma vulnerabilidade no código do contrato inteligente.
Q2: Depósitos de usuários ou mercados de empréstimo foram afetados? A Fluid confirmou que seus mercados de empréstimo, cofres, DEX e depósitos de usuários não foram impactados. Apenas o sistema de distribuição de recompensas foi explorado.
Q3: Como o atacante lavou os fundos roubados? O atacante trocou os ativos roubados por Ether e os transferiu através do Tornado Cash, um mixer de privacidade que oculta trilhas de transação.
Esta postagem Fluid perde US$ 215.000 em exploração do sistema de recompensas após comprometimento de chave apareceu primeiro em BitcoinWorld.