Hợp đồng phần thưởng của Fluid bị tấn công, gây thiệt hại khoảng 215.000 USD
Theo BlackHart, cơ chế phân phối phần thưởng của dự án DeFi Fluid trên Ethereum đã bị khai thác, dẫn đến việc khoảng 215.000 USD tài sản bị chuyển đi. Fluid sử dụng cơ chế danh sách phần thưởng Merkle được khởi tạo bởi một khóa và phê duyệt bởi một khóa khác. Kẻ tấn công đã đồng thời nắm giữ cả hai khóa riêng tư vận hành, gửi một danh sách chỉ trao thưởng cho chính mình, sau đó hoàn tất việc nhận thưởng bằng bằng chứng không kiến thức (zero-knowledge proof).
Số tài sản bị đánh cắp đến từ ba nhà phân phối phần thưởng, bao gồm 112.883 FLUID, 47.903 GHO và một lượng nhỏ cbBTC, sau đó được đổi sang ETH và chuyển qua Tornado Cash. Thị trường cho vay, kho bạc, sàn giao dịch phi tập trung (DEX) và tiền gửi của người dùng tại Fluid không bị ảnh hưởng. Đội ngũ dự án đã thay thế các khóa bị xâm phạm và chuyển số tiền thưởng còn lại trong khoảng 10 giờ, tuy nhiên thông báo công khai chỉ đề cập rằng việc nhận thưởng đã bị tạm dừng để cập nhật, mà không nêu chi tiết về vụ rò rỉ khóa riêng tư và các khoản tổn thất.




