关键妥协后，Fluid 因奖励系统漏洞损失了 215,000 美元

根据 DeFi 风险情报平台 BlackHart 的一份报告，去中心化金融协议 Fluid 在其基于以太坊的奖励分配系统本周早些时候被利用后损失了约 215,000 美元。该事件源于操作密钥受损，而不是底层智能合约代码中的缺陷。

该漏洞是如何展开的

攻击者获得了两个用于在协议中创建和批准奖励列表的操作密钥的控制权。使用此访问权限，他们注册并批准了一份奖励列表，该列表将所有分配定向到他们控制下的单个地址。随后资金被认领并迅速转移。 Fluid 确认该漏洞并未影响其借贷市场、金库、去中心化交易所或用户存款。

被盗资产包括112,883个FLUID代币、47,903个GHO和少量cbBTC。攻击者将这些资产交换为以太币，并通过 Tornado Cash（一种通常用于混淆交易轨迹的隐私工具）转移收益。

响应和补救

Fluid 表示，它已经更换了受损的密钥，并将剩余的奖励资金转移到安全地址。该项目强调，该事件仅限于奖励分配系统，核心协议功能仍然运行。该漏洞凸显了 DeFi 中长期存在的漏洞：链下操作基础设施的安全性。

为什么这对 DeFi 用户很重要

虽然智能合约审计是标准做法，但 Fluid 事件强调密钥管理同样重要。受损的管理密钥甚至可以绕过经过最严格审核的代码。对于用户来说，这一事件强调了采用多重签名治理、时间锁和去中心化密钥管理来减少单点故障的协议的重要性。

使用 Tornado Cash 洗钱被盗资金也让人们重新关注隐私工具的监管审查，特别是在美国于 2022 年对该平台实施制裁之后。这一事件可能会引发有关 DeFi 协议如何平衡透明度与操作安全性的进一步讨论。

结论

Fluid 漏洞提醒人们，DeFi 安全性不仅仅局限于智能合约审计。随着行业的成熟，强大的密钥管理和操作安全实践对于维护用户信任和防止类似的违规行为至关重要。 Fluid 已立即采取纠正措施，但这起事件又增加了针对管理基础设施而不是代码漏洞的攻击的数量。

常见问题解答

Q1：Fluid 漏洞是由智能合约 bug 引起的吗？不是。攻击者泄露了用于创建和批准奖励列表的两个操作密钥，而不是智能合约代码本身的漏洞。

Q2：用户存款或借贷市场是否受到影响？Fluid 确认其借贷市场、金库、DEX 和用户存款没有受到影响。只有奖励分配系统被利用了。

Q3：攻击者如何清洗被盗资金？攻击者将被盗资产换成以太币，并通过 Tornado Cash（一种掩盖交易轨迹的隐私混合器）进行转移。