Fluid perd 215 000 $ suite à un exploit du système de récompense après un compromis clé

Le protocole financier décentralisé Fluid a perdu environ 215 000 $ après l'exploitation de son système de distribution de récompenses basé sur Ethereum plus tôt cette semaine, selon un rapport de la plateforme de renseignement sur les risques DeFi BlackHart. L’incident provenait de clés opérationnelles compromises plutôt que d’une faille dans le code du contrat intelligent sous-jacent.

Comment l’exploit s’est déroulé

L'attaquant a pris le contrôle de deux clés opérationnelles utilisées pour créer et approuver des listes de récompenses au sein du protocole. Grâce à cet accès, ils ont enregistré et approuvé une liste de récompenses qui dirigeait toutes les distributions vers une seule adresse sous leur contrôle. Les fonds ont ensuite été réclamés et rapidement déplacés. Fluid a confirmé que l'exploit n'affectait pas ses marchés de prêts, ses coffres-forts, ses échanges décentralisés ou les dépôts des utilisateurs.

Les actifs volés comprenaient 112 883 jetons FLUID, 47 903 GHO et une petite quantité de cbBTC. L'attaquant a échangé ces actifs contre de l'Ether et a transféré le produit via Tornado Cash, un outil de confidentialité couramment utilisé pour obscurcir les pistes de transaction.

Réponse et correction

Fluid a déclaré avoir remplacé les clés compromises et transféré les fonds de récompense restants vers une adresse sécurisée. Le projet a souligné que l'incident était limité au système de distribution des récompenses et que les fonctions essentielles du protocole restaient opérationnelles. L'exploit met en évidence une vulnérabilité persistante dans DeFi : la sécurité de l'infrastructure opérationnelle hors chaîne.

Pourquoi c'est important pour les utilisateurs de DeFi

Bien que les audits de contrats intelligents soient une pratique courante, l’incident Fluid souligne que la gestion des clés est tout aussi essentielle. Les clés administratives compromises peuvent contourner même le code le plus rigoureusement audité. Pour les utilisateurs, cet événement renforce l'importance des protocoles qui utilisent une gouvernance multi-signature, des verrous temporels et une gestion décentralisée des clés pour réduire les points de défaillance uniques.

L'utilisation de Tornado Cash pour blanchir les fonds volés attire également une attention renouvelée sur l'examen réglementaire des outils de confidentialité, en particulier après les sanctions américaines contre la plateforme en 2022. L'incident pourrait susciter de nouvelles discussions sur la manière dont les protocoles DeFi peuvent équilibrer la transparence et la sécurité opérationnelle.

Conclusion

L'exploit Fluid rappelle que la sécurité DeFi s'étend au-delà des audits de contrats intelligents. À mesure que le secteur évolue, des pratiques solides de gestion des clés et de sécurité opérationnelle seront essentielles pour maintenir la confiance des utilisateurs et prévenir des violations similaires. Fluid a pris des mesures correctives immédiates, mais l'incident s'ajoute à une liste croissante d'attaques ciblant l'infrastructure administrative plutôt que les vulnérabilités du code.

FAQ

Q1 : L'exploit Fluid a-t-il été causé par un bug de contrat intelligent ? Non. L'attaquant a compromis deux clés opérationnelles utilisées pour créer et approuver les listes de récompenses, et non une vulnérabilité dans le code du contrat intelligent lui-même.

Q2 : Les dépôts des utilisateurs ou les marchés des prêts ont-ils été affectés ? Fluid a confirmé que ses marchés des prêts, ses coffres-forts, DEX et les dépôts des utilisateurs n'ont pas été affectés. Seul le système de distribution des récompenses a été exploité.

Q3 : Comment l'attaquant a-t-il blanchi les fonds volés ? L'attaquant a échangé les actifs volés contre de l'Ether et les a transférés via Tornado Cash, un mélangeur de confidentialité qui obscurcit les pistes de transaction.