Fluid verliert 215.000 US-Dollar durch Exploit im Belohnungssystem nach Schlüsselkompromittierung
Laut einem Bericht der DeFi-Risiko-Intelligence-Plattform BlackHart hat das dezentrale Finanzprotokoll Fluid etwa 215.000 US-Dollar verloren, nachdem sein auf Ethereum basierendes Belohnungsverteilungssystem Anfang dieser Woche ausgenutzt wurde. Der Vorfall war auf kompromittierte Betriebsschlüssel zurückzuführen und nicht auf einen Fehler im zugrunde liegenden Smart-Contract-Code.
Wie sich der Exploit abspielte
Der Angreifer erlangte die Kontrolle über zwei Betriebsschlüssel, die zum Erstellen und Genehmigen von Belohnungslisten innerhalb des Protokolls verwendet wurden. Mithilfe dieses Zugriffs registrierten und genehmigten sie eine Prämienliste, die alle Ausschüttungen an eine einzige Adresse unter ihrer Kontrolle leitete. Die Gelder wurden dann eingefordert und schnell weitergeleitet. Fluid bestätigte, dass der Exploit keine Auswirkungen auf seine Kreditmärkte, Tresore, dezentralen Börsen oder Benutzereinlagen hatte.
Zu den gestohlenen Vermögenswerten gehörten 112.883 FLUID-Token, 47.903 GHO und eine kleine Menge cbBTC. Der Angreifer tauschte diese Vermögenswerte gegen Ether und überwies den Erlös über Tornado Cash, ein Datenschutztool, das häufig zur Verschleierung von Transaktionspfaden verwendet wird.
Reaktion und Abhilfe
Fluid gab an, die kompromittierten Schlüssel ersetzt und die verbleibenden Prämiengelder an eine sichere Adresse verschoben zu haben. Das Projekt betonte, dass der Vorfall auf das Belohnungsverteilungssystem beschränkt war und dass die Kernprotokollfunktionen weiterhin betriebsbereit sind. Der Exploit verdeutlicht eine anhaltende Schwachstelle in DeFi: die Sicherheit der Off-Chain-Betriebsinfrastruktur.
Warum dies für DeFi-Benutzer wichtig ist
Während intelligente Vertragsprüfungen gängige Praxis sind, unterstreicht der Fluid-Vorfall, dass das Schlüsselmanagement ebenso wichtig ist. Kompromittierte Verwaltungsschlüssel können selbst den strengsten geprüften Code umgehen. Für Benutzer unterstreicht dieses Ereignis die Bedeutung von Protokollen, die Multi-Signatur-Governance, Zeitsperren und dezentrales Schlüsselmanagement nutzen, um Single Points of Failure zu reduzieren.
Der Einsatz von Tornado Cash zum Waschen der gestohlenen Gelder lenkt auch erneute Aufmerksamkeit auf die behördliche Kontrolle von Datenschutz-Tools, insbesondere nach den US-Sanktionen gegen die Plattform im Jahr 2022. Der Vorfall könnte zu weiteren Diskussionen darüber anregen, wie DeFi-Protokolle Transparenz und Betriebssicherheit in Einklang bringen können.
Fazit
Der Fluid-Exploit erinnert daran, dass die DeFi-Sicherheit über intelligente Vertragsprüfungen hinausgeht. Mit zunehmender Reife der Branche werden robuste Schlüsselverwaltungs- und Betriebssicherheitspraktiken von entscheidender Bedeutung sein, um das Vertrauen der Benutzer aufrechtzuerhalten und ähnliche Verstöße zu verhindern. Fluid hat sofort Korrekturmaßnahmen ergriffen, aber der Vorfall trägt zu einer wachsenden Liste von Angriffen bei, die eher auf die Verwaltungsinfrastruktur als auf Code-Schwachstellen abzielen.
FAQs
F1: Wurde der Fluid-Exploit durch einen Smart-Contract-Bug verursacht? Nein. Der Angreifer hat zwei Betriebsschlüssel kompromittiert, die zum Erstellen und Genehmigen von Belohnungslisten verwendet werden, und keine Schwachstelle im Smart-Contract-Code selbst.
F2: Waren Benutzereinlagen oder Kreditmärkte betroffen? Fluid bestätigte, dass seine Kreditmärkte, Tresore, DEX und Benutzereinlagen nicht betroffen waren. Lediglich das Belohnungsverteilungssystem wurde ausgenutzt.
F3: Wie hat der Angreifer die gestohlenen Gelder gewaschen? Der Angreifer tauschte die gestohlenen Vermögenswerte gegen Ether und übertrug sie über Tornado Cash, einen Datenschutzmixer, der Transaktionspfade verschleiert.