BitcoinWorld
Fluid потеряла $215 000 в результате эксплуатации системы вознаграждений после компрометации ключа
Децентрализованный финансовый протокол Fluid потерял примерно $215 000 после того, как его система распределения вознаграждений на базе Ethereum была эксплуатирована в начале этой недели, согласно отчету платформы по анализу рисков DeFi BlackHart. Инцидент возник из‑за компрометированных операционных ключей, а не из‑за уязвимости в коде смарт‑контракта.
Как развивалась эксплуатация Злоумышленник получил контроль над двумя операционными ключами, используемыми для создания и утверждения списков вознаграждений в протоколе. С помощью этого доступа он зарегистрировал и одобрил список вознаграждений, направив все выплаты на один адрес, принадлежащий ему. Затем средства были заявлены и быстро перемещены. Fluid подтвердил, что эксплойт не затронул их кредитные рынки, хранилища, децентрализованную биржу или депозиты пользователей.
Украденные активы включали 112 883 токена FLUID, 47 903 GHO и небольшое количество cbBTC. Злоумышленник обменял эти активы на Ether и перевёл полученные средства через Tornado Cash — инструмент конфиденциальности, часто используемый для сокрытия следов транзакций.
Ответные меры и исправления Fluid заявила, что заменила компрометированные ключи и переместила оставшиеся средства вознаграждений на безопасный адрес. Проект подчеркнул, что инцидент ограничился системой распределения вознаграждений и что основные функции протокола продолжают работать. Эта эксплуатация подчёркивает постоянную уязвимость в DeFi: безопасность внешних операционных инфраструктур.
Почему это важно для пользователей DeFi Хотя аудиты смарт‑контрактов являются стандартной практикой, случай с Fluid подчеркивает, что управление ключами столь же критично. Скомпрометированные административные ключи могут обойти даже наиболее тщательно проверенный код. Для пользователей это событие усиливает важность протоколов, использующих мультиподписное управление, тайм‑локи и децентрализованное управление ключами, чтобы уменьшить единичные точки отказа.
Использование Tornado Cash для отмывания украденных средств также привлекает renewed внимание к регулятивному надзору за инструментами конфиденциальности, особенно после санкций США против этой платформы в 2022 году. Инцидент может спровоцировать дальнейшие обсуждения о том, как протоколы DeFi могут балансировать прозрачность и операционную безопасность.
Заключение Эксплуатация Fluid служит напоминанием, что безопасность DeFi выходит за рамки аудитов смарт‑контрактов. По мере созревания отрасли надёжные практики управления ключами и операционной безопасностью будут необходимы для поддержания доверия пользователей и предотвращения подобных нарушений. Fluid приняла немедленные корректирующие меры, но инцидент добавляет к растущему списку атак, нацеленных на административную инфраструктуру, а не на уязвимости кода.
FAQ Вопрос 1: Был ли эксплойт Fluid вызван ошибкой в смарт‑контракте? Нет. Злоумышленник скомпрометировал два операционных ключа, используемых для создания и утверждения списков вознаграждений, а не уязвимость в коде смарт‑контракта.
Вопрос 2: Были ли затронуты пользовательские депозиты или кредитные рынки? Fluid подтвердил, что её кредитные рынки, хранилища, DEX и пользовательские депозиты не пострадали. Эксплойт затронул только систему распределения вознаграждений.
Вопрос 3: Как злоумышленник отмывал украденные средства? Злоумышленник обменял украденные активы на Ether и перевёл их через Tornado Cash, миксер конфиденциальности, который скрывает следы транзакций.
Эта статья Fluid потеряла $215 000 в результате эксплуатации системы вознаграждений после компрометации ключа впервые появилась на BitcoinWorld.