Contrato de recompensa da Fluid foi violado, resultando em uma perda de aproximadamente US$ 215.000
Segundo a BlackHart, o mecanismo de distribuição de recompensas do projeto DeFi Fluid na Ethereum foi explorado, resultando na transferência de aproximadamente US$ 215.000 em ativos. A Fluid utiliza um mecanismo de lista de recompensas Merkle iniciado por uma chave e aprovado por outra. O invasor detinha simultaneamente ambas as chaves privadas operacionais, enviou uma lista que premiava apenas a si mesmo e, em seguida, concluiu a reivindicação com uma prova de conhecimento zero.
Os ativos roubados vieram de três distribuidores de recompensa, incluindo 112.883 FLUID, 47.903 GHO e uma pequena quantidade de cbBTC, que foram posteriormente trocados por ETH e transferidos via Tornado Cash. O mercado de empréstimos, a tesouraria, a DEX e os depósitos de usuários da Fluid não foram afetados. A equipe substituiu as chaves comprometidas e transferiu os fundos de recompensa restantes em aproximadamente 10 horas, mas o comunicado público mencionou apenas que as reivindicações de recompensa foram pausadas para atualizações, sem mencionar detalhes sobre o vazamento da chave privada e as perdas.



