Hợp đồng Fluid Rewards bị xâm phạm, thiệt hại khoảng 215.000 USD

Giao thức DeFi Fluid trên Ethereum vừa bị khai thác cơ chế phân phối thưởng, với thiệt hại ước khoảng 215.000 USD.

BlackHart cho biết kẻ tấn công đã dùng cả hai khóa riêng liên quan đến quy trình vận hành và phê duyệt để tự tạo danh sách thưởng, sau đó thực hiện claim bằng một bằng chứng rỗng. Tài sản bị lấy gồm 112.883 FLUID, 47.903 GHO và một lượng nhỏ cbBTC.

Số tài sản này sau đó được đổi sang ETH và chuyển qua Tornado Cash. Theo thông tin hiện có, thị trường cho vay, vault, DEX và tiền gửi của người dùng trên Fluid không bị ảnh hưởng.

Nhóm dự án đã thay thế khóa bị lộ và chuyển phần thưởng còn lại trong khoảng 10 giờ. Tuy vậy, thông báo công khai ban đầu chỉ cho biết việc claim phần thưởng tạm dừng, chưa nêu chi tiết về rò rỉ khóa riêng và khoản thất thoát.