Fluid теряет 215 000 долларов из-за взлома системы вознаграждений после компрометации ключа

Согласно отчету платформы анализа рисков DeFi BlackHart, протокол децентрализованного финансирования Fluid потерял около 215 000 долларов после того, как в начале этой недели была использована его система распределения вознаграждений на основе Ethereum. Инцидент произошел из-за компрометации рабочих ключей, а не из-за ошибки в базовом коде смарт-контракта.

Как разворачивался эксплойт

Злоумышленник получил контроль над двумя операционными ключами, которые используются для создания и утверждения списков вознаграждений в протоколе. Используя этот доступ, они зарегистрировали и утвердили список вознаграждений, который направлял все распределения на один адрес, находящийся под их контролем. Затем средства были востребованы и быстро переведены. Компания Fluid подтвердила, что эксплойт не повлиял на ее кредитные рынки, хранилища, децентрализованную биржу или пользовательские депозиты.

Украденные активы включали 112 883 токена FLUID, 47 903 GHO и небольшое количество cbBTC. Злоумышленник обменял эти активы на эфир и перевел доходы через Tornado Cash, инструмент конфиденциальности, обычно используемый для сокрытия следов транзакций.

Реагирование и исправление

Fluid заявила, что заменила скомпрометированные ключи и перевела оставшиеся средства вознаграждения на безопасный адрес. В проекте подчеркнули, что инцидент был локализован в системе распределения вознаграждений и что основные функции протокола остаются работоспособными. Эксплойт подчеркивает постоянную уязвимость в DeFi: безопасность автономной операционной инфраструктуры.

Почему это важно для пользователей DeFi

Хотя аудит смарт-контрактов является стандартной практикой, инцидент с Fluid подчеркивает, что управление ключами не менее важно. Скомпрометированные административные ключи позволяют обойти даже самый тщательно проверенный код. Для пользователей это событие усиливает важность протоколов, которые используют управление несколькими подписями, временные блокировки и децентрализованное управление ключами для уменьшения количества единых точек сбоя.

Использование Tornado Cash для отмывания украденных средств также привлекает новое внимание к регуляторному контролю над инструментами конфиденциальности, особенно после санкций США против платформы в 2022 году. Этот инцидент может побудить к дальнейшему обсуждению того, как протоколы DeFi могут сбалансировать прозрачность и операционную безопасность.

Заключение

Эксплойт Fluid служит напоминанием о том, что безопасность DeFi выходит за рамки аудита смарт-контрактов. По мере развития отрасли надежные методы управления ключами и операционной безопасности будут иметь важное значение для поддержания доверия пользователей и предотвращения подобных нарушений. Компания Fluid немедленно предприняла корректирующие действия, но этот инцидент пополнил растущий список атак, нацеленных на административную инфраструктуру, а не на уязвимости кода.

Часто задаваемые вопросы

Вопрос 1. Был ли эксплойт Fluid вызван ошибкой смарт-контракта? Нет. Злоумышленник скомпрометировал два операционных ключа, используемых для создания и утверждения списков вознаграждений, а не уязвимость в самом коде смарт-контракта.

Вопрос 2. Были ли затронуты депозиты пользователей или рынки кредитования? Fluid подтвердила, что рынки кредитования, хранилища, DEX и депозиты пользователей не пострадали. Использовалась только система распределения вознаграждений.

Вопрос 3. Как злоумышленник отмыл украденные средства? Злоумышленник обменял украденные активы на эфир и перевел их через Tornado Cash, миксер конфиденциальности, который скрывает следы транзакций.