鼓狮财经:DeFi 市场再起波澜,知名借贷协议 Fluid 因奖励机制漏洞遭遇黑客攻击,导致约 21.5 万美元资产被窃。此次事件的核心在于 Fluid 使用的 Merkle 奖励名单机制存在设计缺陷,该机制要求一把“发起钥匙”和一把“批准钥匙”共同操作。令人担忧的是,攻击者通过某种手段同时掌握了这两把关键的运营私钥。利用这一权限,攻击者精心构造了一份仅包含自身地址的奖励名单,在顺利通过批准后,利用“空证明”技术完成了奖励的无条件领取,从而实现了资产的非法转移。
被盗资金主要来源于三个奖励分发器,具体包括 112,883 枚 FLUID 代币、47,903 枚 GHO 稳定币以及少量 cbBTC。攻击者在得手后迅速将上述资产兑换为以太坊(ETH),并利用 Tornado Cash 混币器进行匿名化处理,以此洗白资金并规避链上追踪。尽管损失惨重,但幸运的是,此次攻击并未波及 Fluid 的核心业务体系。项目的借贷市场、金库、DEX 交易功能以及用户存款均保持安全,未受到任何实质性影响。
在事件发生后,Fluid 团队展现了较为迅速的止损能力,在约 10 小时内完成了受损私钥的更换,并将剩余的奖励资金进行了安全转移。然而,在向公众披露的官方声明中,团队仅提及“奖励领取暂停更新”,对于私钥泄露的细节及资金损失的具体情况却只字未提。这种信息不对称的做法,不仅让社区对项目安全性的信任度产生动摇,也再次敲响了 DeFi 项目在多重签名及权限管理方面需要加强审计的警钟。