BitcoinWorld
Fluid 因金鑰洩漏在獎勵系統被利用,損失 215,000 美元
去中心化金融協議 Fluid 在本週早些時候其基於以太坊的獎勵分配系統被利用,損失約 215,000 美元,據 DeFi 風險情報平台 BlackHart 的報告稱。此事件源於作業金鑰被竊,而非底層智能合約程式碼的缺陷。
利用過程說明 攻擊者取得了兩把用於建立與批准獎勵清單的作業金鑰。藉此存取權限,他們註冊並批准了一個獎勵清單,將所有分配都導向其控制的單一地址。資金隨即被領取並迅速轉移。Fluid 確認此利用未影響其借貸市場、金庫、去中心化交易所或使用者存款。
被盜資產包括 112,883 個 FLUID 代幣、47,903 個 GHO 以及少量 cbBTC。攻擊者將這些資產兌換成以太幣,並透過 Tornado Cash(常用於隱匿交易痕跡的隱私工具)轉移收益。
回應與補救措施 Fluid 表示已更換受洩漏的金鑰,並將剩餘的獎勵資金移至安全地址。該項目強調,此事件僅限於獎勵分配系統,核心協議功能仍正常運作。此利用凸顯 DeFi 中持續存在的弱點:離鏈作業基礎設施的安全性。
此事對 DeFi 使用者的重要性 雖然智能合約審計已成為標準做法,但 Fluid 事件顯示金鑰管理同樣關鍵。被竊的管理金鑰可繞過即使是最嚴格審計的程式碼。對使用者而言,此事件再次強調採用多簽治理、時間鎖與去中心化金鑰管理的協議,以降低單點失效的風險。
攻擊者利用 Tornado Cash 洗錢也再次引發對隱私工具的監管關注,尤其是在美國 2022 年對該平台實施制裁之後。此事件可能促使業界進一步討論 DeFi 協議如何在透明度與作業安全之間取得平衡。
結論 Fluid 的利用提醒我們,DeFi 的安全不僅僅是智能合約審計。隨著產業成熟,健全的金鑰管理與作業安全措施將是維護使用者信任、避免類似入侵的關鍵。Fluid 已採取即時的糾正行動,但此事件亦加入了針對管理基礎設施而非程式碼漏洞的攻擊案例清單。
常見問題 Q1:Fluid 的利用是因為智能合約漏洞嗎? 不是。攻擊者竊取了兩把用於建立與批准獎勵清單的作業金鑰,而非智能合約程式碼本身的漏洞。
Q2:使用者的存款或借貸市場受到影響嗎? Fluid 確認其借貸市場、金庫、DEX 以及使用者存款皆未受影響。僅獎勵分配系統被利用。
Q3:攻擊者如何洗錢? 攻擊者將被盜資產兌換成以太幣,並透過 Tornado Cash 這種隱私混合器來隱匿交易痕跡。
此篇文章 Fluid 因金鑰洩漏在獎勵系統被利用,損失 215,000 美元 首次發表於 BitcoinWorld。