BitcoinWorld
Fluid mất 215.000 USD trong vụ khai thác hệ thống thưởng sau khi khóa bị xâm phạm
Giao thức tài chính phi tập trung Fluid đã mất khoảng 215.000 USD sau khi hệ thống phân phối thưởng dựa trên Ethereum của nó bị khai thác vào đầu tuần này, theo báo cáo từ nền tảng trí tuệ rủi ro DeFi BlackHart. Sự cố bắt nguồn từ việc các khóa vận hành bị xâm phạm chứ không phải lỗi trong mã hợp đồng thông minh nền tảng.
Cách vụ khai thác diễn ra Kẻ tấn công đã chiếm được quyền kiểm soát hai khóa vận hành được sử dụng để tạo và phê duyệt danh sách thưởng trong giao thức. Nhờ quyền truy cập này, họ đã đăng ký và phê duyệt một danh sách thưởng chuyển toàn bộ phân phối tới một địa chỉ duy nhất do họ kiểm soát. Sau đó, số tiền đã được yêu cầu và nhanh chóng chuyển đi. Fluid xác nhận rằng vụ khai thác không ảnh hưởng đến các thị trường cho vay, vault, sàn giao dịch phi tập trung hoặc tiền gửi của người dùng.
Các tài sản bị đánh cắp bao gồm 112.883 token FLUID, 47.903 GHO và một lượng nhỏ cbBTC. Kẻ tấn công đã hoán đổi các tài sản này sang Ether và chuyển lợi nhuận qua Tornado Cash, một công cụ bảo mật thường được dùng để làm mờ dấu vết giao dịch.
Phản hồi và Khắc phục Fluid cho biết đã thay thế các khóa bị xâm phạm và chuyển phần còn lại của quỹ thưởng tới một địa chỉ an toàn. Dự án nhấn mạnh rằng sự cố chỉ giới hạn trong hệ thống phân phối thưởng và các chức năng cốt lõi của giao thức vẫn hoạt động. Vụ khai thác làm nổi bật một lỗ hổng kéo dài trong DeFi: bảo mật của hạ tầng vận hành ngoài chuỗi.
Tại sao điều này quan trọng đối với người dùng DeFi Mặc dù việc kiểm toán hợp đồng thông minh là thực hành tiêu chuẩn, sự cố Fluid nhấn mạnh rằng quản lý khóa cũng quan trọng không kém. Các khóa quản trị bị xâm phạm có thể vượt qua ngay cả mã được kiểm toán kỹ lưỡng nhất. Đối với người dùng, sự kiện này củng cố tầm quan trọng của các giao thức áp dụng quản trị đa chữ ký, khóa thời gian và quản lý khóa phi tập trung để giảm các điểm lỗi đơn lẻ.
Việc sử dụng Tornado Cash để rửa tiền đã thu hút lại sự chú ý của các cơ quan quản lý đối với các công cụ bảo mật, đặc biệt sau các lệnh trừng phạt của Hoa Kỳ đối với nền tảng này vào năm 2022. Sự cố có thể thúc đẩy thêm các cuộc thảo luận về cách các giao thức DeFi cân bằng giữa tính minh bạch và an ninh vận hành.
Kết luận Vụ khai thác Fluid là lời nhắc nhở rằng an ninh DeFi không chỉ dừng lại ở kiểm toán hợp đồng thông minh. Khi ngành công nghiệp phát triển, việc quản lý khóa và thực hành an ninh vận hành mạnh mẽ sẽ là yếu tố thiết yếu để duy trì niềm tin của người dùng và ngăn ngừa các vi phạm tương tự. Fluid đã thực hiện các biện pháp khắc phục ngay lập tức, nhưng sự cố này làm tăng danh sách các cuộc tấn công nhắm vào hạ tầng quản trị thay vì lỗ hổng mã.
Câu hỏi thường gặp Q1: Vụ khai thác Fluid có phải do lỗi hợp đồng thông minh không? Không. Kẻ tấn công đã xâm phạm hai khóa vận hành dùng để tạo và phê duyệt danh sách thưởng, không phải lỗ hổng trong mã hợp đồng thông minh.
Q2: Tiền gửi của người dùng hoặc các thị trường cho vay có bị ảnh hưởng không? Fluid xác nhận rằng các thị trường cho vay, vault, DEX và tiền gửi của người dùng không bị ảnh hưởng. Chỉ hệ thống phân phối thưởng đã bị khai thác.
Q3: Kẻ tấn công đã rửa tiền như thế nào? Kẻ tấn công đã hoán đổi tài sản bị đánh cắp sang Ether và chuyển chúng qua Tornado Cash, một công cụ trộn bảo mật làm mờ dấu vết giao dịch.
Bài viết này Fluid mất 215.000 USD trong vụ khai thác hệ thống thưởng sau khi khóa bị xâm phạm lần đầu xuất hiện trên BitcoinWorld.