Fluid pierde 215.000 dólares en explotación del sistema de recompensas tras un compromiso clave

El protocolo financiero descentralizado Fluid ha perdido aproximadamente $215,000 después de que su sistema de distribución de recompensas basado en Ethereum fuera explotado a principios de esta semana, según un informe de la plataforma de inteligencia de riesgos DeFi BlackHart. El incidente se debió a claves operativas comprometidas y no a una falla en el código de contrato inteligente subyacente.

Cómo se desarrolló la hazaña

El atacante obtuvo el control de dos claves operativas utilizadas para crear y aprobar listas de recompensas dentro del protocolo. Utilizando este acceso, registraron y aprobaron una lista de recompensas que dirigía todas las distribuciones a una única dirección bajo su control. Luego se reclamaron los fondos y se trasladaron rápidamente. Fluid confirmó que el exploit no afectó sus mercados de préstamos, bóvedas, intercambios descentralizados o depósitos de usuarios.

Los activos robados incluyeron 112,883 tokens FLUID, 47,903 GHO y una pequeña cantidad de cbBTC. El atacante intercambió estos activos por Ether y transfirió las ganancias a través de Tornado Cash, una herramienta de privacidad comúnmente utilizada para ocultar los rastros de transacciones.

Respuesta y remediación

Fluid declaró que reemplazó las claves comprometidas y trasladó los fondos de recompensa restantes a una dirección segura. El proyecto enfatizó que el incidente estuvo contenido en el sistema de distribución de recompensas y que las funciones centrales del protocolo siguen operativas. El exploit resalta una vulnerabilidad persistente en DeFi: la seguridad de la infraestructura operativa fuera de la cadena.

Por qué esto es importante para los usuarios de DeFi

Si bien las auditorías de contratos inteligentes son una práctica estándar, el incidente de Fluid subraya que la gestión de claves es igualmente crítica. Las claves administrativas comprometidas pueden eludir incluso el código auditado más rigurosamente. Para los usuarios, este evento refuerza la importancia de los protocolos que emplean gobernanza de firmas múltiples, bloqueos de tiempo y administración de claves descentralizada para reducir los puntos únicos de falla.

El uso de Tornado Cash para lavar los fondos robados también genera una atención renovada al escrutinio regulatorio en torno a las herramientas de privacidad, especialmente después de las sanciones de Estados Unidos contra la plataforma en 2022. El incidente puede generar más debates sobre cómo los protocolos DeFi pueden equilibrar la transparencia con la seguridad operativa.

Conclusión

El exploit Fluid sirve como recordatorio de que la seguridad de DeFi va más allá de las auditorías de contratos inteligentes. A medida que la industria madure, serán esenciales prácticas sólidas de gestión de claves y seguridad operativa para mantener la confianza de los usuarios y prevenir violaciones similares. Fluid ha tomado medidas correctivas inmediatas, pero el incidente se suma a una lista cada vez mayor de ataques dirigidos a la infraestructura administrativa en lugar de a las vulnerabilidades del código.

Preguntas frecuentes

P1: ¿El exploit de Fluid fue causado por un error de contrato inteligente?No. El atacante comprometió dos claves operativas utilizadas para crear y aprobar listas de recompensas, no una vulnerabilidad en el código del contrato inteligente en sí.

P2: ¿Se vieron afectados los depósitos de los usuarios o los mercados de préstamos? Fluid confirmó que sus mercados de préstamos, bóvedas, DEX y depósitos de los usuarios no se vieron afectados. Sólo se explotó el sistema de distribución de recompensas.

P3: ¿Cómo lavó el atacante los fondos robados? El atacante intercambió los activos robados por Ether y los transfirió a través de Tornado Cash, un mezclador de privacidad que oculta los rastros de transacciones.